Marseille Forum

windows safety alert !!

Invité · 13 · 3186

fanette

  • Invité

Depuis quelques temps, je suis envahie de pubs disant que j'ai des virus ! Ca apparaît sur mon écran toutes les 2/3 minutes. C'est infernal ! Et voilà que je viens de trouver dans mon panneau de configuration "Windows safety alert" qui me bouffe 295 MO sur mon ordi et impossible de le supprimer. Je suis allée sur "commentçamarche" qui conseille d'enregistrer "HIJACKTHIS version....". Ce que j'ai fait ! Voilà ce que me dit mon ordi :

Logfile of HijackThis v1.99.1
Scan saved at 08:58:21, on 03/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Video ActiveX Access\iesmn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = dekkarifanny.free.fr:21
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Program Files\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\SamsungMediaStudio4.1\SamsungMediaStudioAgent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Désolée ! C'est long ! Mais y-a-t-il quelque chose que je peux supprimer ? Que puis-je faire ?
Merci à vous tous !


yoyo13mars

  • Invité
le supprimer dans panneau de configuration ( en le desactivement avant ou en demarrant l'ordinateur en mode sans echec) , ou regarder si il n'existe pas le programme de désinstallation dans le disque dur, ou autre solution, le supprimer directement du disque dur puis supprimer les entrees dans la base de registre.........

 :smt023  t'as suivi fanette ??


fanette

  • Invité

Impossible de le supprimer dans "panneau de configuration" (d'ailleurs, j'ai lu sur des forums que c'est impossible !).
Ensuite, je ne sais pas comment on peut démarrer l'ordi en mode sans échec. Quand j'appuie sur le bouton pour allumer l'ordi, il s'allume.....c'est tout ! ( :smt005  suis nulle, hein ?)
Ensuite, comme (grrrrrr....alors que je suis en train de taper, la publicité apparaît !!!!!), donc ! Ensuite, comment aller sur le disque dur ?
Merci Yoyo.....et les autres  :lol:


yoyo13mars

  • Invité
y'as va falloir que je me deplace, tu habites en hauteur j'espere (c'est pour etre sur quil se casse en arrivant en bas!)  :smt005  :smt005  :smt005


nouche

  • Invité
y'as va falloir que je me deplace, tu habites en hauteur j'espere (c'est pour etre sur quil se casse en arrivant en bas!)  :smt005  :smt005  :smt005


ma pauvre Fanette  ](*,)  ](*,) je suis de tout coeur avec toi, je comprend rien non plus :cache:

 y'a Yoyo qui veut jeter l'ordi de Fanette : t'as une bonne assurance au moins


fanette

  • Invité


Un deuxième étage, ça te va Yoyo ?  :smt005 ! Je te filerai un coup de main ! J'ouvrirai la fenêtre !
Hé oui ! Nouche, c'est dur d'être analphabêtordi !  :cache:
Mais ce qui me fait enrager, c'est qu'un virus, même s'il n'est pas dangereux, me bouffe autant de place !


Yannick

  • Collègue qui boulègue
  • ****
    • Messages: 847
un pti coup dans demarrer>executer puis tape msconfig dans l'onglet "démarrage" tu le cherche et tu le decoche ;déjà pour lui couper les vivres ;)


eddy

  • Invité
Pour info, si tu veux démarrer en mode sans échec, appuies sur la touche F8 au démarrage de l'ordi.
Je te conseille spybot search & destroy :
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/26157.html (que tu sembles déjà avoir)
ainsi que ad-aware SE :
http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/11643.html
Bon courage !


degadezzo

  • Tranquille collègue
  • *
    • Messages: 17
    • Bienvenue au soleil
Bonsoir,

J'ai déjà eu ce problème, HijackThis s'était installé parce que j'avais bêtement accepté trop vite une installation. Ensuite, HijackThis prend la main sur l'administrateur de Windows, et on ne peut plus s'en débarrasser, même en essayant de restaurer Windows à une date antérieure.

Mais....  :D

Ton avatar me laisse supposer que tu as aussi une distribution Linux installée sur ton ordi, dans ce cas, tu es sauvée:

Rebooter l'ordi sous Linux, ouvrir une console en ligne de commande, et passer en mode super utilisateur

[login@localhost~$]
su (super utilisateur), il te demande ton passwd root,
taper le mot de passe root et valider,
tu te retrouves en mode super utilisateur
[login@localhost~#]
remonter l'arborescence des fichiers de windows, généralement accessibles par le répertoire /mnt/windows_c, là tu vas retrouver le dossier de HijackThis, et...couic, sous Linux, il n'a pas la main  [-X
Il est tout de même plus prudent d'en conserver une sauvegarde dans ton répertoire /home pour le cas où il contiendrait des fichiers partagés.
Au redémarrage de Windows, un petit coup de Regcleaner pour supprimer les entrées orphelines dans la base de registre, et HijackThis, couic !  :D


Traces d Huile

  • Forumeu(r)/(se) aïolisé
  • **********
    • Messages: 13444
  • En route pour l'aventure...
    • Concentration motos et motards à Marseille Plan de Campagne
Mais pourquoi vous voulez virer HiJackThis ???
C'est un excellent utilitaire en un seul executable très pratique pour trouver des merdouilles à désactiver...


degadezzo

  • Tranquille collègue
  • *
    • Messages: 17
    • Bienvenue au soleil
Mais pourquoi vous voulez virer HiJackThis ???
C'est un excellent utilitaire en un seul executable très pratique pour trouver des merdouilles à désactiver...

Le problème étant que cet utilitaire, certainement pas plus inutile qu'un autre, s'installe souvent en version d'essai avec une autre application, et tant qu'on n'a pas installé la version commerciale (et payante), envoie régulièrement des messages d'alerte extrèmement perturbants. Le pire étant qu'il prend la main sur l'administration de Windows, l'administrateur n'est même plus le patron chez lui et ne peut plus le désinstaller. Il se passe la même chose avec le Genuine Advantage mis en place par Microsoft pour vérifier l'authenticité de la copie de Windows installée et lutter contre la piraterie, le winLogon Notify ne peut pas être désinstallé ni désactivé, même pas par l'administrateur.
Mais ce qui est admissible (quoique...) de la part de l'éditeur du système d'exploitation, l'est beaucoup moins de la part de l'éditeur d'un utilitaire commercial.


Traces d Huile

  • Forumeu(r)/(se) aïolisé
  • **********
    • Messages: 13444
  • En route pour l'aventure...
    • Concentration motos et motards à Marseille Plan de Campagne
J'ai beau lire et relire le post originel, il est bien écrit que Fanette a volontairement installé HiJackThis afin de corriger un problème qui existait avant.


Il faudrait surtout se pencher sur les clés rapportées par HiJackThis (que perso j'utilise régulièrement avec d'autres outils). Les entrées à surveiller sont :

C:\Program Files\Video ActiveX Access\iesmn.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = dekkarifanny.free.fr:21

O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Program Files\Video ActiveX Access\iesplg.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


fanette

  • Invité
J'ai essayé tous les conseils donnés par Yoyo et Eddy. Bon ! Ca n'a pas marché !
Je ne suis pas à la maison ce soir, mais dès mon retour, je m'attèle à ce que tu proposes Dégadézzo ( :smt005 ! Rigolo ton nom !!!) et je te dirais si ça a marché.
Merci en tout cas à vous ! Car non seulement j'ai plein de pubs mais en plus j'ai des nouveaux virus qui s'installent chaque jour !


 

SMF spam blocked by CleanTalk