Virus Win32.agent.ay

Réseaux & telecom Internet
1

Bonsoir, jai un gros soucis avec un trojan que je n’arrive pas à me débarrasser ! je suis sous xp sp1, j’ai désactivé ma restauration systeme, passé un coup d’anti virus qui m’enlève le virus et qui revient après, j’ai passé un coup de spybot et d’adware j’ai aussi fait hijack et bien suprimé les lignes qui n’allaient pas j’ai vidé tout mon cache internet mes cookies et mes fichiers temporaires j’ai même redemarré en mode sans echec pour supprimer les fichiers manuellement mais dès que je redémarre et que je me connecte il revient ! il semblerait que dès que je supprime le fichier .exe qu’il me crée dans systeme 32 il m’en crée un autre de fichier .exe qui evidement est un virus aussi c’est un cercle vicieux. Si quelqu’un pouvait m’aider ca serait sympa car la je ne sais plus quoi faire :neutre:
Je me suis peut etre mal exprimée si vous ne comprenez pas tout demandez-moi

2

:hello:

télécharge une versiaon d’évaluation 30j de Spy Sweeper, c’est un très bon antispyware : http://www.webroot.com/downloads/?WRSID=4f…6552b679c130865

3

Merci j’essaye et je te tiens au courant

4

Si j’en crois cette descritption http://www.viruslist.com/en/viruses/encycl…a?virusid=70701 , il suffit de virer une clé suspecte dans HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

5

Pour répondre à eleje ton logiciel est très bien il m’enlève tout mais ca revient. En fait ce n’est pas quand je reboot mais dès que je supprime et que je suis connectée sur internet que ce cheval de troie revient.

6

Et pour michel35 merci pour ton aide j’ai regardé dans la base de registre mais chez moi j’ai : HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings et pas “Run” je connais pas beaucoup la base de registre alors si quelqu’un pouvait m’aider car je pense que la solution se trouve là il faut que je supprime quelquechose la dedans mais quoi ?

7

essaie de faire comme ça :

  1. désactives la restauration systeme (panneau de configuration - système -restauration du sytème)

  2. efface tes fichiers temporaires (accessoires - outils système - nettoyage de disque : coches toutes les cases)

  3. spy sweeper

  4. réactives la restauration système

ça devrait être OK

8

essaie de faire comme ça :

  1. désactives la restauration systeme (panneau de configuration - système -restauration du sytème)

  2. efface tes fichiers temporaires (accessoires - outils système - nettoyage de disque : coches toutes les cases)

  3. spy sweeper

  4. réactives la restauration système

ça devrait être OK

Merci c’est deja fait mais ca revient en revanche j’ai trouvé ca : http://www.globalhauri.com/html/support/vi…code=TRW3000730 j’ai bien effacé tout dans la base de registre mais c’est pareil. Je me suis apercue qu’en fait c’est un programme qui est installé sur mon pc et que je ne peux pas desinstallé quand je vais dans ajout suppression de programme il me renvoit sur un lien web ou il y a un programme pour le desinstallé. J’ai quand meme essayé mais ca revient encore une fois de plus ! si quelqu’un a une autre solution

9

essaie hijackthis[/url] [url=http://80.237.140.193/downloads/hijackthis_199.zip]http://80.237.140.193/downloads/hijackthis_199.zip

poste le log crée par le logiciel

10

:slight_smile: attention! enregistre Hijack dans son propre dossier : C:\HijackThis pas dans mes documents etc… !!

faire :

  • L’enregistrer dans 1 nouveau dossier crée: C:\HijackThis (on a dit C!!) :smiley:
  • Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée
  • Récupérer ce log/texte avec le bloc-notes
  • Le copier/coller ici

http://sitethemacs.free.fr/aide_enregistre…e_hijackthi.htm <-- comment enregistrer Hijack

11

J’ai deja utilisé Hijack c’est un logiciel que je connais bien et j’avais tout supprimé les lignes qui n’allaient pas mais mon virus est revenu je vous colle quand même mon log pour que je recommence à supprimer ce qui ne va pas peut-être avais-je oublié quelquechose. Merci pour votre aide

Logfile of HijackThis v1.99.1
Scan saved at 13:58:49, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Internet\ZoneAlarm\zlclient.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
D:\Internet\Avast\ashDisp.exe
D:\Internet\MESSEN~1\ypager.exe
D:\Internet\Avast\aswUpdSv.exe
D:\Internet\Avast\ashServ.exe
D:\Utilitaires\Norton ghost 2003\GhostStartService.exe
d:\utilitaires\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Internet\Avast\ashMaiSv.exe
D:\Internet\Avast\ashWebSv.exe
D:\Internet\Aim5.5\aim.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubic.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Utilitaires\AcrobatReader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\…\Run: [Zone Labs Client] D:\Internet\ZoneAlarm\zlclient.exe
O4 - HKLM\…\Run: [msnappau] “C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe”
O4 - HKLM\…\Run: [adiras] adiras.exe
O4 - HKLM\…\Run: [MessengerPlus3] “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM\…\Run: [SpySweeper] “C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe” /startintray
O4 - HKLM\…\Run: [avast!] D:\Internet\Avast\ashDisp.exe
O4 - HKCU\…\Run: [Yahoo! Pager] D:\Internet\MESSEN~1\ypager.exe -quiet
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Internet\Aim5.5\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Internet\MESSEN~1\YPager.exe
O9 - Extra ‘Tools’ menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Internet\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha…t/c381/chat.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe…etup1.0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD…sharingctrl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co…b?1095458772717
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061…all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe…StatsClient.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\…\{16D747EE-4537-444E-9405-FD2A716CE718}: NameServer = 80.118.196.36 80.118.192.100
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Internet\Avast\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Internet\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Internet\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Internet\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: GhostStartService - Symantec Corporation - D:\Utilitaires\Norton ghost 2003\GhostStartService.exe
O23 - Service: Speed Disk service - Symantec Corporation - d:\utilitaires\Speed Disk\nopdb.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

12

c’est quoi comme programme ? il t’envoie vers quelle page web ?

13

tu as surtout choper nail.exe

Télécharge :

CCleaner 1.21.130. Fr
outil d’optimisation de votre ordinateur en supprimant les fichiers inutiles relatifs à Windows. Il supprime les fichiers Internet Temporaires (Cache) d’Internet Explorer, Cookies, historiques, Index.dat, Corbeille, Fichiers Temporaires, Urls récemment visités…
http://www.ordi-netfr.com/ccleaner.php

Ewido : qui est un anti-Hijackers, Spywares, worms etc…
faire la M. à Jour du logiciel
http://www.ewido.net/en/

  • désactive la restauration système

  • affiche les dossiers protégés
    “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
    Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!coche!] “Afficher les fichiers et dossiers cachés”
    Pour afficher les autres fichiers cachés>>[!décoche!] la case “Masquer les fichiers protégés du système d’exploitation”
    Passe en mode sans échec, je vois que ça te pose aucun problème

- passe en mode sans échec (je vois que tu as l’habitude)

  • relance Hijack/coche les cases devant les lignes vérolées & fix checked!

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe…etup1.0.0.8.cab <–adware funwebproducts que l’on chope avec des plugins type Smiley Central

*ferme l’hijack

  • Lance le scan Ewido - sauvegarde le rapport - ensuite tu peux supprimer la sauvegarde au reboot (si tu peux copié/collé ici le rapport avant, pour info merci :slight_smile: )

  • recherche et supprime (si encore présent)

C:\WINDOWS<–localisé ici\–> supprime : Nail.exe

  • reboot en mode normal

  • lance CCleaner et fait un nettoyage complet avec Base de registre inclus
    édit : je précise que dans la partie de nettoyage de la Base de registre, on peut effectuer une sauvegarde, l’enregistrer (icône reg) et (re) fusionner cette sauvegarde en cas de dysfontionnements (jamais entendu parler pour le moment de fichiers système supprimés par erreur par ce logiciel très sûr)

  • recache les fichiers système (important!)
    - réactive la restauration système

@+

14

:hello: d’après le log ce serait nail.exe

Process File: nail.exe
Process Name: Trojan.Win32.Stervis.b

Description: Nail.exe is a is a hijacker which means it will intermittently change your Internet Explorer settings / Desktop to the link of it’s author’s sponsors. This program is usually installed through consent, however is sometimes packaged as another product. It is a registered security risk and should be removed immediately.

15

Westernunion j’ai tout fait à la lettre ce que tu m’a dit de faire mais ce “NAIL.EXE” de malheur reviens quand je redémarre le pc je te fait un copier du rapport de Ewido :

ewido security suite - Rapport de scan

  • Créé le: 17:47:23, 02/08/2005

  • Somme de contrôle: 18A789EB

  • Résultats du scan:

    HKLM\SOFTWARE\Classes\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} -> Spyware.MiniBug : Nettoyer et sauvegarder
    HKLM\SOFTWARE\Classes\Interface\{1DE9EE01-DF51-49DB-9BDD-5990B35C1C2A} -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@questionmarket[1].txt -> Spyware.Cookie.Questionmarket : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@weborama[2].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    C:\Program Files\AWS\WeatherBug\MiniBugTransporter.dll -> Spyware.Wheaterbug : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\bar\1.bin\F3CJPEG.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\bar\1.bin\F3RESTUB.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\bar\1.bin\M3SKIN.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL -> Spyware.MyWebSearch : Nettoyer et sauvegarder
    C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL -> Spyware.Wesbar : Nettoyer et sauvegarder
    C:\WINDOWS\Nail.exe -> Adware.BetterInternet : Nettoyer et sauvegarder
    C:\WINDOWS\system32\DrPMon.dll -> Adware.BetterInternet : Nettoyer et sauvegarder
    C:\WINDOWS\system32\koafpacf.exe -> Spyware.Hotbar : Nettoyer et sauvegarder
    :mozilla.22:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
    :mozilla.23:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
    :mozilla.24:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
    :mozilla.31:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
    :mozilla.36:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    :mozilla.39:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    :mozilla.41:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.44:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.53:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Webtrendslive : Nettoyer et sauvegarder
    :mozilla.6:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Valuead : Nettoyer et sauvegarder
    :mozilla.13:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Targetnet : Nettoyer et sauvegarder
    :mozilla.15:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Adorigin : Nettoyer et sauvegarder
    :mozilla.16:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    :mozilla.20:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Fastclick : Nettoyer et sauvegarder
    :mozilla.22:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
    :mozilla.23:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    :mozilla.24:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    :mozilla.25:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Clickagents : Nettoyer et sauvegarder
    :mozilla.26:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.29:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.31:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
    :mozilla.32:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
    :mozilla.34:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
    :mozilla.37:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
    :mozilla.47:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
    :mozilla.48:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.51:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    :mozilla.53:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
    :mozilla.58:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
    :mozilla.66:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    :mozilla.75:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Qksrv : Nettoyer et sauvegarder
    :mozilla.77:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Bfast : Nettoyer et sauvegarder
    :mozilla.78:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.85:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.86:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.90:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Qksrv : Nettoyer et sauvegarder
    :mozilla.91:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Commission-junction : Nettoyer et sauvegarder
    :mozilla.92:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Commission-junction : Nettoyer et sauvegarder
    :mozilla.95:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Webtrendslive : Nettoyer et sauvegarder
    :mozilla.97:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.98:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Hitbox : Nettoyer et sauvegarder
    :mozilla.106:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Webtrendslive : Nettoyer et sauvegarder
    G:\Logiciels\backups\backup-20050801-122505-633.dll -> Adware.BetterInternet : Nettoyer et sauvegarder
    G:\Logiciels\backups\backup-20050801-125908-426.dll -> Adware.BetterInternet : Nettoyer et sauvegarder
    G:\Logiciels\backups\backup-20050801-141855-473.dll -> Adware.BetterInternet : Nettoyer et sauvegarder
    :mozilla.14:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    :mozilla.17:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    :mozilla.19:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.20:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.21:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.23:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
    :mozilla.25:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    :mozilla.31:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    :mozilla.34:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
    :mozilla.35:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
    :mozilla.36:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Mediaplex : Nettoyer et sauvegarder
    :mozilla.37:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
    :mozilla.45:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Webtrendslive : Nettoyer et sauvegarder
    :mozilla.46:I:\Sauvegardes E-mails\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder

::Fin du rapport

16

:slight_smile: de retour, c’est rare qu’Ewido ne vienne pas à bout de nail.exe

dommage il manque 1 nouveau rapport hijack

Vide la quarantaine d’Ewido (…Nettoyer et sauvegarder)

  • refait la manip pour la restauration système et les fichiers cachés et inversement à la fin de la désinfection surtout

Ouvre le bloc-notes et copie/colle ce qui est en gras ci-dessous

@ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
attrib -s -r -h nail.exe
del nail.exe
exit

Enregistre ce fichier sur le Bureau–> Nom : remove.bat et Type: "Tous les fichiers"

A partir d’ici tu es en mode sans échec

  • Exécute “remove.bat”<->double/clic - 1 fenêtre s’ouvre et se ferme aussitôt

  • Relance Ewido/scan/sauvegarde

  • Relance Hijack " Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée

fix checked (je me base sur ton ancien log)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

09 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\WINDOWS\System32\shdocvw.dll (HKCU)

coche TOUTES les O16 - DPF:
sauf : les lignes concernant http:/v5.windowsupdate.microsoft, les AV Online RAV & Bitdefender

  • recherche et supprime si encore présent
    C:\WINDOWS\–> supprimer : B]Nail.exe[/B]

  • Reboot en mode normal

  • Lance CCleaner (toutes les sessions)

  • Recache les fichiers système

  • Réactive la restauration système

  • Vide la nouvelle quarantaine Ewido (si de nouvelles détections sont apparues, bien sûr)

bonne chance :sol:

17

Westernunion, j’ai fait tout ce que tu m’a dit de faire et j’ai aussi resuprimé une clé dans la base de registre mais en mode sans echec cette fois-ci qui correspond à nail.exe dans “windows nt” “winlogo” et quand j’ai redémarré en mode normal mon anti virus m’a détecté encore “Nail.exe” 3 fois à la suite et me l’a encore supprimé une fois de plus et depuis 15 minutes plus rien (je pense que c’est de courte durée) on dirait qu’il apparait au bout d’un moment ou quand je lance internet explorer là j’ai lancé plusieurs fenetres internet explorer et rien ne se passe Hijack c’est ok, mon anti virus me dit plus rien ni mon firewall je te colle quand même mon dernier rapport ewido et je te tiens au courant si “la bête reviens”

ewido security suite - Rapport de scan

  • Créé le: 11:28:39, 03/08/2005

  • Somme de contrôle: DACC9072

  • Résultats du scan:

    [716] VM_01AC0000 -> Adware.BetterInternet : Erreur durant le nettoyage
    C:\Documents and Settings\Séverine\Cookies\séverine@abetterinternet[2].txt -> Spyware.Cookie.Abetterinternet : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@weborama[1].txt -> Spyware.Cookie.Weborama : Nettoyer et sauvegarder
    C:\Documents and Settings\Séverine\Cookies\séverine@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    C:\WINDOWS\imflhw.exe -> Adware.BetterInternet : Nettoyer et sauvegarder
    C:\WINDOWS\Nail.exe -> Adware.BetterInternet : Nettoyer et sauvegarder
    C:\WINDOWS\system32\wins32.dll -> TrojanDownloader.Small.bez : Nettoyer et sauvegarder
    :mozilla.9:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
    :mozilla.10:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
    :mozilla.12:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
    :mozilla.18:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Doubleclick : Nettoyer et sauvegarder
    :mozilla.20:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
    :mozilla.21:D:\Internet\Netscape 6.2.3\Nikky\d8aod2g6.slt\cookies.txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
    :mozilla.13:D:\Internet\Sauvegarde Profil Nikky Netscape 6\Nikky\13m36tpb.slt\cookies.txt -> Spyware.Cookie.Cqcounter : Nettoyer et sauvegarder
    G:\Logiciels\backups\backup-20050801-122506-742.dll -> TrojanDownloader.IstBar : Nettoyer et sauvegarder

Un truc de bizarre quand même il y a eu une erreur pendant le nettoyage ! en tout cas je te remercie beaucoup pour ton aide

18

:hello:

ok toute le procédure + le remove.bat, nail.exe était réapparu? :pt1cable:

Windows XP SP1
Internet Explorer v6.00 SP1
Un petit tour chez M$.Update aussi ; Tu devrais installer le SP2

Tu peux vider la quarantaine Ewido de préférence hors connexion - idem CCleaner hors connexion, sers-toi du balayage de la base de registre surtout
Sauvegarde le fichier et renomme-le avec la date du jour pour mieux l’identifier et supprimer l’ancienne sauvegarde à chaque nouvelle
http://img24.imageshack.us/img24/8683/iconereg5cd.jpgcc_20050802_1639.3.8.2005.reg

SpySweeper après l’essai tu devras le désinstaller, tu pourrais toujours faire des scans online sur leur site avec Spy Audit (localise sans désinfecter!)

télécharge tt de suite

Ad-aware.SE 1.06/ Spybot.s&d 1.4
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

+le fichier en français
pour Ad-aware

Méfie-toi à l’installation de plugins MessengerPlus! 3 et de certains logiciels nail.exe s’installe suite à des téléchargements vérolés
"Nail.exe is a is a hijacker which means it will intermittently change your Internet Explorer settings / Desktop to the link of it’s author’s sponsors. This program is usually installed through consent, however is sometimes packaged as another product.

Installe SpywareBlaster 3.4 complémentaire de SSD et A-Aware
SpywareBlaster ne recherche pas et donc ne détruit pas les spywares de votre ordinateur, il les empêche de s’installer.
SpywareBlaster peut empêcher l’installation de toutes les commandes d’activeX de spyware lors de la visite d’un site au travers d’un page Web. Il bloque les ActiveX “hostiles”, tout en n’interférant pas des commandes d’ActiveX “amis” - ainsi votre navigateur peut fonctionner correctement.
Vous n’obtiendrez plus de boîtes gênantes de “Yes/No” s’ouvrir dans une nouvelle fenêtre, vous demandant d’installer une commande d’activeX de spyware. En outre, SpywareBlaster peut empêcher plusieurs de ces commandes d’activeX de spyware de ce lancer, même si elles sont déjà installées sur votre système. Il est maintenant compatible avec le navigateur Mozilla/Firefox.
http://www.ordi-netfr.com/spywareblaster.php

je te dis pas à bientôt :whistle:

19

Merci pour tous tes conseils Westernunion j’espère ne pas te dire à bientôt non plus :oui: