Processus inconnu ! ... [résolu]

Bonjour,

Comment virer cette bouse ? :o

http://www.art-chakras.com/clu/bouse-01.jpg[/img][img]http://www.art-chakras.com/clu/bouse-02.jpg

qui ne fait que clignoter et qui ouvre cette page ?!!
http://www.virusburst.com/?aff=334

je dois dire que c’est terriblement et excessivement pénible ! :pfff:

j’ai cherché dans les processus lancés … rien trouvé en les tuant 1 a 1 !

mais d’où vient ce truc qui prend la tête !

j’ai cherché dans les dernières installs … nada !
j’ai fouillé dans la bdr … pas mieux !

bref … là je coince avec ce truc !

Merci à tous pour votre aide précieuse :jap:

Essaye peut-être ceci pour identifier le processus.
:neutre:

Ce n’est pas l’icone de outpost ?

je viens de l’installer et apparement je ne vois rien comme processus correspondant à cette daube !
http://www.art-chakras.com/clu/screen_01.jpg

Salut , télécharge ceci et dézippe les fichiers dans un dossier sur ton bureau :

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Lance alors le smitfraudfix.bat

Une fenêtre en invite de commande s’ouvure, t’appuyes ensuite sur une touche pour continuer …ensuite au menu , choisis l’option 1 (recherche)

Un rapport sera alors crée à cette emplacement:

C:\rapport.txt

Copie le contenu et poste le !

non …

c’était la commande : SmitfraudFix.cmd … mais j’ai capté facilement

ensuite voilà le résultat des courses :

[i]SmitFraudFix v2.83

Rapport fait à 12:55:36,59, 06/09/2006
Executé à partir de E:\ANTIVIRUS\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Chakras\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Chakras\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Ma page d’accueil”

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7fa55359-7223-410f-bc82-efb3e3ded07f}"="died"

[HKEY_CLASSES_ROOT\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7fa55359-7223-410f-bc82-efb3e3ded07f}\InProcServer32]
@="C:\WINDOWS\system32\gtpbx.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin[/i]

en souhaitan que tu y vois quelque chose d’intéressant :jap:

Aucune infobulle ne s’affiche si tu laisses le curseur de la souris dessus ?

que se passe-t-il si tu doubles cliques sur l’icône ?

l’icône en point d’interrogation ressemble à celle qui s’affiche lors du premier démarrage d’XP après une réinstallation …

utilise hijackthis et poste un rapport

ça serait pas ça ? :

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

Bon ok, maintenant, redémarre en mode sans échec , (Pour démarrer en mode sans échec:
Redémarrer l’ordinateur en tapotant la touche F8 plusieurs fois jusqu’à l’apparition d’un menu (blanc sur fond noir). Dans ce menu, à l’aide des touches directionnelles, mettre en surbrillance la ligne Démarrer en mode sans échec. )

recommence l’opération précédente , mais choisis l’option 2 : nettoyage !

répond "oui" ( appuyez sur "o" puis entrée ) pour le nettoyage du registre. Répond également oui pour la question " Corriger le fichier infectée?"

Un redémarrage sera alors peut être nécessaire pour terminer la procédure.

:oui:

1 - si : http://www.art-chakras.com/clu/bouse-03.jpg
2 - cette page s’ouve … avec un simple clic !
3 - Non … c’est un point d’interrogation clignotant avec ce rond barré rouge … rien à voir.
4 - J’envoie le rapport dès que possible.

:jap:

je le fais et vous tien au courant :jap:

oki

pour info : http://www.malekal.com/VirusBurst.html

bon … ça ne fonctionne pas !
je lance l’application en mode sans echec … il ferme bien explorer mais n’efface pas les clés en question !
à la fin je me retrouve évidemment toujours avec cette bouse ! :pfff:

j’y crois pas … c’est quoi cette merde ? :paf:
je desteste avoir un truc de genre dans ma machine !!! :o

le voici :

[color=purple]Logfile of HijackThis v1.99.1
Scan saved at 13:38:37, on 06/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PCCILLIN\pccguide.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\PCCILLIN\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
D:\PCCILLIN\Tmntsrv.exe
D:\PCCILLIN\tmproxy.exe
D:\PCCILLIN\TmPfw.exe
C:\WINDOWS\System32\svchost.exe
D:\AVANT BROWSER\avant.exe
E:\ANTIVIRUS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT\SDHelper.dll
O3 - Toolbar: Protection Bar - {fe2d25c1-c1db-4b5e-9390-af1cb5302f32} - (no file)
O4 - HKLM\…\Run: [pccguide.exe] “D:\PCCILLIN\pccguide.exe”
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKCU\…\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Add to AD Black List - D:\AVANT BROWSER\AddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - D:\AVANT BROWSER\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer ce serveur… - D:\AVANT BROWSER\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité… - D:\AVANT BROWSER\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - D:\AVANT BROWSER\Highlight.htm
O8 - Extra context menu item: Open All Links in This Page… - D:\AVANT BROWSER\OpenAllLinks.htm
O8 - Extra context menu item: Open In New Avant Browser - D:\AVANT BROWSER\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d’Avant Browser - D:\AVANT BROWSER\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page… - D:\AVANT BROWSER\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web… - D:\AVANT BROWSER\Search.htm
O8 - Extra context menu item: Search - D:\AVANT BROWSER\Search.htm
O8 - Extra context menu item: Surligner - D:\AVANT BROWSER\Highlight.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: died - {7fa55359-7223-410f-bc82-efb3e3ded07f} - C:\WINDOWS\system32\gtpbx.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - D:\PCCILLIN\PcCtlCom.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - D:\PCCILLIN\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - D:\PCCILLIN\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - D:\PCCILLIN\tmproxy.exe[/color]

Bon télécharge ceci:

http://martijnc.be/tools/roguescanfix_setup.exe

Lance le, choisis le langage -> next -> I accept the agreement ok -> next -> installe le !

A la page d’acceuil, appuye sur la barre d’espace et choisi 1 , ensuite lance la désinfection en appuant encore sur espace …

cette saleté a l’air d’être apparu récemment … en tout cas, le rapport hijackthis[/url] ne donne pas grand chose… [url=http://www.hijackthis.de/logfiles/d33296a9ce95577e966624389e2d6057.html]http://www.hijackthis.de/logfiles/d33296a9…389e2d6057.html

je te conseillerai de passer à l’étape suivante en scannant ton PC avec:

• Spysweeper (un excellent antispyware)
  http://www.webroot.com/fr/downloads/?WRSID…51a0f8b0694aecc
  (je ne sais pas si le scan en ligne permet la désinfection)

• ewido
  http://www.ewido.net/en/download/

c’est fait …
http://www.art-chakras.com/clu/bouse-04.jpg
et maintenant je fais quoi ? :??: