infections virales multiples : au secours!!!

[Malekal_morte]

Pas bon.

Bon pas grave.

Supprime ces fichiers :
C:\WINDOWS\system32\yyyokbxd.ini
C:\WINDOWS\system32\asqvpupu.ini
C:\WINDOWS\system32\hwryatrk.ini

Il y a quoi dans ces dossiers ?
C:\WINDOWS\system32\ardCo01
C:\temp\cEeer12

[esther]

Comme tu vas vite en besogne...
Ou exactement je supprime ces fichiers?
Comment sais-je ce qu'il y a dans les autres?
Imagine que je suis sotte et que je débute...
Merci monsieur.
esther

[Malekal_morte]

Je pense pas avoir porté de jugement.
Faut pas se braquer...


Poste de travail --> Disque C --> Windows --> system32
puis clic droit supprimer sur yyyokbxd.ini
puis clic droit supprimer sur asqvpupu.ini
puis clic droit supprimer sur hwryatrk.ini

Ensuite tu cherches dans la liste ardCo01, tu doubles-clic dessus et tu regardes les fichiers qu'il y a dedans et tu donnes les noms ici.

[esther]

très cher monsieur malekal,
je viens de chercher dans c jusque dans systeme 32,
iln'y a aucun des fichiers dedans!!!
Je ne peux donc pas les supprimer!!
C'est étrange, non?
esther

[Malekal_morte]

OK fais ça avant :
-- Ouvre le poste de travail
-- Clic sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
-- Coche dans la liste "Afficher les fichiers cachés"
-- Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"
-- Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.


Tu dois pouvoir les voir maintenant.

[esther]

Mission accomplie. Les trois sont apparus, les trois sont supprimés
J'ai ouvert ardco, il n'y a rien dedans.

[esther]

rien non plus dans ceert 12 de temp au fait msieur

[Malekal_morte]

OK maintenant on va mettre à jour Internet Explorer pour sécuriser ton PC.
Installe Internet Explorer 7 : http://www.microsoft.com/france/windows ... itnow.mspx

Poste un nouveau rapport HijackThis quand c'est fait.

[esthher]

bonjour malekal,
belle fin de matinée.
Lorsque je souhaite installer explorer 7 un message me dit : "cette installation ne prend pas en charge la version actuelle du serice pack de votre installation" : j'ai essayé avec les 3, aucun ne marche...
mais kesketikispasse?
esther

[Malekal_morte]

Bonjour,


Installe le service pack 2 : http://www.microsoft.com/downloads/deta ... laylang=fr

Mets Windows à jour : https://www.malekal.com/updates_windows.php

Installe Internet Explrer 7

[esther.]

Malekal,
j'ai bien téléchargé le pack 2, l'ordi a redemarré,
j'ai pas vu de changement notoire quand j'ai lancé internet explorer.
ensuite j'ai fait un hijack
voici sa reponse :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:59, on 05/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Microsoft Money\System\urlmap.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\System32\SMBOLS~1\ping.exe" -vt yazb
O4 - HKCU\..\Run: [Oobofz] "C:\Documents and Settings\Propriétaire\Mes documents\s?stem32\r?gedit.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Suite] regedit -s c:\windows\temp\adj_hp.reg (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Suite] regedit -s c:\windows\temp\adj_hp.reg (User 'Default user')
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {50BD5CDA-4BA8-4048-8FAA-763F222E41D8} - ms-itxxxxs:mhxxxxxtml:filxxxe://c:\\xxxnores.xxxmhtxx!hxxxttp://axxxxxdxrnet.net/code/chxxxm/xpre.chm::/xprexxxxload.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 9528786124
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

--
End of file - 4731 bytes


windows update est plus sournois. Il gèle souvent et pas possible de lancer l'update...
Que faire?
ps : deux messages d'erreur quand je lance l'ordi au demarrage :
mess 1 "runner file name (logitech desktopmessenger.ex) lacks a '-' (the app id separator)
mess 2 could not load the target dll (C/programfilebackwebclient/6.1.0.153/program/backweb.dll, error code 126" (les slashs sont en fait des antislash)
et windows update marche pooo
merci de ton aide
esther

[Malekal_morte]

- Demarrer / executer / tape services.msc
- Cherche Symantec Network Drivers Service dans la liste
- Double clic dessus, positionne le type de démarrage sur désactiver


Relance HijackThis, coche ces lignes :

O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\System32\SMBOLS~1\ping.exe" -vt yazb
O4 - HKCU\..\Run: [Oobofz] "C:\Documents and Settings\Propriétaire\Mes documents\s?stem32\r?gedit.exe"
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?

--> clic sur fix checked


Ca donne quoi si tu mets les mises à jour automatiques comme expliqué sur cette page : https://www.malekal.com/updates_windows.php
Il arrive à les télécharger?

[esther.]

ai terminé l'étape de fix sur hijack,
merci.
Par contre quand je veux faire windows mise a jour automatique, devine!!!
le programme plante, c'est à dire que la page du systeme est bloquée. Il ne veut rien savoir...
Que faire?
esther

[Malekal_morte]

Installe Internet Explorer 7, vois ce que ça donne ensuite.

[esther.]

oublié de te dire que l'antivirus me detecte tout le temps une fenetre ou il est demandé de supprimer ou de mettre en quarantaine un truc qui s'appelle exploit.
C'est pas un petit virus ca?
esther