Fichier YOa03660

Poppa-z Messages postés 123 Statut Membre -  
Poppa-z Messages postés 123 Statut Membre -
Bonjour,

Voila alors ça fais une semaine que mon pc a pris un virus (enfin je pense), je l'allume et puis 5 minute après dès qu'un logiciel charge ca me fais planter le logiciel jusqu'à ce que explorer plante et la je ne peut plus rien faire.

je l'ai donc démarrer en mode sans échec et ça marche donc je suis forcer de constater que cela ne viens pas de mon pc mais bien d'un fichier ! j'ai essayer de faire une restauration mais le même problème...

J'ai donc pris mon courage a deux main et j'ai lancé un scan de mon pc pendant que je suis en mode sans echec et la j'ai découvert un fichier que je ne connais pas :Q :

Nom du fichier : YOa03660
Type de fichier : fichier
Poids (ko) : 2 480 191 Ko

j'ai fais une recherche sur celui ci mais rien de concluant :( donc je m'en remet a vous cher ami internaute pour plus de détail demandé moi :)

Poppa-z

PS : - je ne suis pas sur mon pc mais sur un autre pc que j'ai retrouver dans les décombres de ma cave et qui est assez vieux :( sur mon pc a problème (qui est un pc portable packard bell) je suis sur un vista familiale :)

- je suis pas bon très professionnel du pc alors évité les jargon trop informaticien ^^
Configuration: Windows Xp
Firefox 3.0.8

139 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
Résumé de la discussion

Une infection présumée bloque les logiciels après leur chargement et empêche l’usage normal, le système fonctionnant en mode sans échec et révélant un fichier inconnu nommé YOa03660 pesant environ 2 480 191 Ko.
Plusieurs conseils recommandent d’employer Dr.Web pour détecter et traiter le fichier potentiellement malveillant, puis de supprimer le trojan et de mettre en quarantaine les éléments suspects afin de redémarrer le système.
D'autres éléments évoquent que ce fichier ou ses composants pourraient persister malgré des tentatives de suppression, ce qui justifie potentiellement une vérification complémentaire avec un outil spécialisé ou l’aide d’un expert.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. steve2726 Messages postés 27 Statut Membre 3
     
    si c'est vista du va avoir du mal a trouver un depannage tout ceux ki onnaissent bien l'informatique ne mette jamais vista!!!!!!
    0
  2. Poppa
     
    Ba j'espere quand même trouver quelqu'un parce que ca soule :(
    0
  3. gen-hackman
     
    salut poppa

    Salut,

    commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:

    Télécharges et installes le logiciel de diagnostic :

    ici Hijackthis
    ou ici Hijackthis
    ou ici Hijackthis

    ou renommé

    1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    tuto pour utilisation :(merci balltrap34)
    Regardes ici, c'est parfaitement expliqué en images ,

    ( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement )

    2- !! Déconnectes toi et fermes toute tes applications en cours !!

    Cliques sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    --->copies-colles le rapport généré pour analyse
    0
  4. Poppa
     
    je peut faire ceci en mode sans echec ou pas parce que si je peux pas mon ordi va planter :s
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    non ca devrait etre assez rapide pour pas planter ca s execute en 10 s
    0
    1. Poppa
       
      heu je veux b ien mais qu'est ce que tu apelle les application et comment je sais qu'elle sont toute fermer ?
      0
  7. gen-hackman
     
    les fenetres actives :)

    IE,Mozilla,
    msn, etc.....
    0
  8. gen-hackman
     
    c est vrai tu as raisoon meme de mon cote en le mettant ici il passe pas ton hijackthis
    0
  9. gen-hackman
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:32:34, on 05/04/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v8.00 (8.00.6001.18372)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Users\EvernY\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Users\EvernY\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\Program Files\RelevantKnowledge\rlvknlg.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1098640
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://format.packardbell.com/...
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O2 - BHO: TBSB06009 - {2940074F-729F-4DF6-B300-96048173ED39} - C:\Program Files\MyExpressSearch\My Express Search Toolbar\my_express_search.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: Adparatus - {8B2C7C9D-716D-4e9e-9358-B9C80A81B7ED} - C:\Program Files\Adparatus\Adparatus.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll
    O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    O3 - Toolbar: My Express Search Toolbar - {6226BA26-C017-4007-928C-DE9715C6FA67} - C:\Program Files\MyExpressSearch\My Express Search Toolbar\my_express_search.dll
    O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Program Files\BS.Player ControlBar\BSToolbar.dll
    O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
    O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
    O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
    O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll
    O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Run: [qsvybegj] "c:\users\everny\appdata\local\qsvybegj.exe" qsvybegj
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
    O4 - HKCU\..\Run: [CursorFX] "C:\Program Files\Stardock\CursorFX\CursorFX.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: Outil de notification Live Search.lnk = C:\Users\EvernY\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
    O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\bmqos.dll
    O13 - Gopher Prefix:
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: KeenfinderSrch Service - Unknown owner - C:\ProgramData\KeenfinderSrch\keenfinder136.exe (file missing)
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: RelevantKnowledge - TMRG, Inc. - C:\Program Files\RelevantKnowledge\rlservice.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
    O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    0
  10. Poppa-z Messages postés 123 Statut Membre 6
     
    ka je galere a faire ce que tu ma dis car mon pc plante vite mais je persiste ^^
    0
  11. gen-hackman
     
    sinon tu peux le faire en mode sans echec avec prise en charge reseau
    0
  12. Poppa-z Messages postés 123 Statut Membre 6
     
    oui c'est ce que je fais ^^
    0
  13. Poppa-z Messages postés 123 Statut Membre 6
     
    premier rapport demandé celui de ad-report :

    ------- LOGFILE OF AD-REMOVER 1.1.2.5 | ONLY XP/VISTA -------

    Updated by C_XX on 01/04/2009 at 20:00
    Contact: AdRemover.contact@gmail.com
    Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

    Start at: 17:22:00, Sun 05/04/2009 | Boot mode: Safe Boot
    Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
    Operating System: Microsoft® Windows Vista™ Home Premium Service Pack 1 (version 6.0.6001)
    Computer Name: PC-TONY
    Current User: EvernY - Administrator
    Drive(s):
    - C:\ (File System: NTFS)
    System Drive: C:\
    Windows Directory: C:\Windows\
    System Directory: C:\Windows\System32\

    --- Running Processes: 24

    +-----------------| Boonty/Boonty Games Elements Found:

    .
    .

    +-----------------| Eorezo Elements Found:

    HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCR\EoRezoBHO.EoBho
    HKCR\EoRezoBHO.EoBho.1
    HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\EoRezo
    HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\Classes\EoRezoBHO.EoBho
    HKLM\Software\Classes\EoRezoBHO.EoBho.1
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    .
    C:\Program Files\EoRezo
    C:\Users\EvernY\AppData\Roaming\EoRezo
    C:\Users\Invit‚\AppData\Roaming\Eorezo
    C:\Users\Invit‚\AppData\Roaming\Microsoft\Windows\Cookies\invit‚@scache1.eorezo[1].txt

    +-----------------| Infected Poker Softwares Elements Found:

    .

    +-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

    .
    .

    +-----------------| It's TV Elements Found:

    HKCU\Software\ItsLabel
    HKLM\Software\ItsLabel
    HKU\S-1-5-21-2059388694-3882764489-1881758984-1002\Software\ItsLabel
    .
    C:\Users\EvernY\AppData\Roaming\ItsLabel
    C:\Users\Invit‚\AppData\Roaming\ItsLabel

    +-----------------| Sweetim Elements Found:

    HKCU\Software\SweetIM
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
    HKLM\Software\SweetIM
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Sweetim
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-2059388694-3882764489-1881758984-1002\Software\Sweetim
    .
    C:\Users\EvernY\AppData\Roaming\Mozilla\Firefox\Profiles\dt1a872i.default\searchplugins\sweetim.xml
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@sweetim[1].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[1].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[2].txt

    ============ Other Adwares Found ============

    Service: RelevantKnowledge
    .
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
    HKLM\SYSTEM\CurrentControlSet\Services\RelevantKnowledge
    HKCR\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    HKLM\Software\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    .
    C:\Windows\icons\digsby.ico
    C:\Program Files\Conduit
    C:\Program Files\FileSubmit
    C:\Program Files\RelevantKnowledge
    C:\ProgramData\Microsoft\Windows\Startm~1\Programs\FileSubmit
    C:\ProgramData\Microsoft\Windows\Startm~1\Programs\RelevantKnowledge
    C:\Program Files\Conduit\Community Alerts\Alert.dll
    C:\Windows\Installer\a632b5d.msi
    C:\Windows\Prefetch\RLVKNLG.EXE-E04CF673.pf
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@atdmt[2].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[1].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[2].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[3].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[4].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[2].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[3].txt

    +-----------------| Added Scan:

    ---- Mozilla FireFox Version 3.0.7 ----

    ProfilePath: dt1a872i.default (EvernY)
    .
    Prefs.js: Browser.Search.DefaultEngineName: "Google"
    Prefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
    .
    .
    .
    .
    .

    ---- Internet Explorer Version 8.0.6001.18372 ----

    +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Start page: hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640

    +-[HKEY_USERS\S-1-5-21-2059388694-3882764489-1881758984-1002\..\Internet Explorer\Main]

    Start page: hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start page: hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: hxxp://ieframe.dll/tabswelcome.htm

    +---------------------------------------------------------------------------+

    5697 Byte(s) - C:\Ad-Report-Scan-05.04.2009.log

    0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
    0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

    End at: 17:30:27 | 05/04/2009
    .
    +-----------------| E.O.F - 112 Lines
    .

    tu as tous :p
    0
  14. gen-hackman
     
    non je t ai demandé navilog option 1 aussi
    0
  15. Poppa-z Messages postés 123 Statut Membre 6
     
    ui j'ai dis 1er donc le premier est la le deuxieme je suis en train de le faire mais sa met du temps donc quand il est fini je te le fais passé ;)
    0
  16. Poppa-z Messages postés 123 Statut Membre 6
     
    et voila le log Fixnavi :

    Search Navipromo version 3.7.6 commencé le 05/04/2009 à 17:37:06,18

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz )
    BIOS : Ver 1.00PARTTBL
    USER : EvernY ( Not Administrator ! )
    BOOT : Fail-safe with network boot

    C:\ (Local Disk) - NTFS - Total:141 Go (Free:16 Go)
    D:\ (CD or DVD)
    I:\ (CD or DVD)

    Recherche executé en mode sans échec

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    ...\MessengerSkinner trouvé !
    ...\SudoPlanet trouvé !

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\users\everny\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\EvernY\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\EvernY\AppData\Local" ***

    *** Recherche dossiers dans "C:\Users\Emilie\AppData\Local" ***

    *** Recherche dossiers dans "C:\Users\INVIT~1\AppData\Local" ***

    *** Recherche dossiers dans "C:\Users\EvernY\AppData\Roaming" ***

    *** Recherche dossiers dans "C:\Users\Emilie\appdata\roaming" ***

    *** Recherche dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\EvernY\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\EvernY\AppData\Local" *

    * Recherche dans "C:\Users\Emilie\AppData\Local" *

    * Recherche dans "C:\Users\INVIT~1\AppData\Local" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "qsvybegj"="\"c:\\users\\everny\\appdata\\local\\qsvybegj.exe\" qsvybegj"

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\EvernY\AppData\Local\Microsoft" :

    * Dans "C:\Users\EvernY\AppData\Local" :

    aiaiu_navtmp.dat trouvé !
    qsvybegj.bat trouvé !

    * Dans "C:\Users\Emilie\AppData\Local" :

    * Dans "C:\Users\INVIT~1\AppData\Local" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    *** Analyse terminée le 05/04/2009 à 18:00:41,32 ***

    La tu as vraiment tous ^^
    0
  17. gen-hackman
     
    *******************************************************
    *************** Option B (Suppression) ***************
    *******************************************************

    /!\ Déconnecte-toi et ferme toutes applications en cours /!\

    Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

    Choisis A

    Puis choisis S, le programme va travailler.

    Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report.log)

    /!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)


    Aides en images ( Nettoyage )

    ensuite :

    *************************************************************
    *************** Option C (Désinstallation) ***************
    *************************************************************

    * Relance "Ad-remover" : au menu principal choisis l'option "C" .
    * Clique sur ok quand l avertissement apparait.

    ensuite :

    Option 2 - Suppression :

    * Double clique sur le raccourci de Navilog.
    * Choisis l'option 2 puis valide. (Entrée)
    * Laisse toi guider.
    * Ton ordinateur va redémarrer, sinon fais le manuellement.
    * Ton bureau va disparaître.
    * Après un certain temps, le Bloc-notes va s'ouvrir.
    * Sauvegarde le rapport.
    * Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
    Tapes explorer et valide. Cela te fera apparaitre ton bureau

    Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    VIP

    Si tu les trouves, fais ceci :
    * Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
    * Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.

    Ensuite pour chacun des certificats présents sur ton bureau :
    * Va sur le site Web :
    https://www.bleepingcomputer.com/submit-malware.php?channel=35
    * Copie/colle ceci dans la case 'Link to Topic' :
    le nom du certificat (Montorgueil ,......)
    * Copie/colle ceci dans la case 'Browse to the File' :
    Le certificat correspondant que tu avais exportés vers ton bureau

    Si c'est fait, supprime enfin le certificat présent sur ton bureau.

    Les programmes suivants installent cette infection :

    * go-astro
    * GoRecord
    * HotTVPlayer
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * Officiale Emule (Version d'Emule modifiée)
    * Sudoplanet
    * Webmediaplayer
    * Sur le site www.games-desktop.com (n'allez pas dessus!!)
    * BitDownload
    * BitGrabber
    * BitRoll
    * MessengerPlus! 3 sous le nom de sponsors
    * Messenger Plus! Live sous le nom de sponsors
    * NetPumper
    * TorrentQ
    * Torrent101
    * Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
    * Sur le site hxxp://www.games-desktop.com (Ne pas aller dessus!)

    * Poste le rapport sauvegardé auparavant (C:\cleannavi.txt) ainsi qu'un nouveau rapport Hijackthis.
    0
  18. Poppa-z Messages postés 123 Statut Membre 6
     
    ok j'ai deja commencer je te post ca dès que j'y ai ;)
    0
  19. Poppa-z Messages postés 123 Statut Membre 6
     
    option B terminé (supression) voici le log :

    ------- LOGFILE OF AD-REMOVER 1.1.2.5 | ONLY XP/VISTA -------

    Updated by C_XX on 01/04/2009 at 20:00
    Contact: AdRemover.contact@gmail.com
    Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

    **** LIMITED TO ****

    Boonty/BoontyGames
    Eorezo
    Infected Poker Softwares
    FunWebProduct/MyWay/MyWebSearch
    It's TV
    Sweetim
    Other Adwares

    ********************

    Start at: 18:13:04, Sun 05/04/2009 | Boot mode: Safe Boot
    Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
    Operating System: Microsoft® Windows Vista™ Home Premium Service Pack 1 (version 6.0.6001)
    Computer Name: PC-TONY
    Current User: EvernY - Administrator
    Drive(s):
    - C:\ (File System: NTFS)
    System Drive: C:\
    Windows Directory: C:\Windows\
    System Directory: C:\Windows\System32\

    --- Running Processes: 24

    (!) ---- IE start pages/Tabs reset

    +-----------------| Boonty/Boonty Games Elements Deleted :

    .
    .

    +-----------------| Eorezo Elements Deleted :

    HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCR\EoRezoBHO.EoBho
    HKCR\EoRezoBHO.EoBho.1
    HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKLM\Software\EoRezo
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
    .
    C:\Program Files\EoRezo
    C:\Users\EvernY\AppData\Roaming\EoRezo
    C:\Users\Invit‚\AppData\Roaming\Eorezo
    C:\Users\Invit‚\AppData\Roaming\Microsoft\Windows\Cookies\invit‚@scache1.eorezo[1].txt

    +-----------------| Infected Poker Softwares Elements Deleted :

    .

    +-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :

    .
    .

    +-----------------| It's TV Elements Deleted :

    HKCU\Software\ItsLabel
    HKLM\Software\ItsLabel
    .
    C:\Users\EvernY\AppData\Roaming\ItsLabel
    C:\Users\Invit‚\AppData\Roaming\ItsLabel

    +-----------------| Sweetim Elements Deleted :

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Sweetim
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Internet Explorer\Internetregistry\Registry\User\S-1-5-21-2059388694-3882764489-1881758984-1002\Software\Sweetim
    HKCU\Software\SweetIM
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
    HKLM\Software\SweetIM
    .
    C:\Users\EvernY\AppData\Roaming\Mozilla\Firefox\Profiles\dt1a872i.default\searchplugins\sweetim.xml
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@sweetim[1].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[1].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[2].txt

    ============ Other Adwares Deleted ============

    Service: "RelevantKnowledge"
    .
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
    HKCR\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    .
    C:\Windows\icons\digsby.ico
    C:\Program Files\Conduit
    C:\Program Files\FileSubmit
    C:\Program Files\RelevantKnowledge
    C:\ProgramData\Microsoft\Windows\Startm~1\Programs\FileSubmit
    C:\ProgramData\Microsoft\Windows\Startm~1\Programs\RelevantKnowledge
    C:\Windows\Installer\a632b5d.msi
    C:\Windows\Prefetch\RLVKNLG.EXE-E04CF673.pf
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@atdmt[2].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[1].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[2].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[3].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[4].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[2].txt
    C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[3].txt

    ---- Complementary Cleaning + Heuristic ----

    ... Done !

    (!) ---- Temp files deleted.
    (!) ---- Recycle bin emptied in all drives.

    +-----------------| Added Scan :

    ---- Mozilla FireFox Version 3.0.7 ----

    ProfilePath: dt1a872i.default (EvernY)
    .
    Prefs.js: Browser.Search.DefaultEngineName: "Google"
    Prefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
    .
    .
    .
    .
    .

    ---- Internet Explorer Version 8.0.6001.18372 ----

    +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    +-[HKEY_USERS\S-1-5-21-2059388694-3882764489-1881758984-1002\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start page: hxxp://fr.msn.com/

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: hxxp://ieframe.dll/tabswelcome.htm

    +---------------------------------------------------------------------------+

    5999 Byte(s) - C:\Ad-Report-Clean-05.04.2009.log
    2807 Byte(s) - C:\Ad-Report-Scan-05.04.2009.log

    1 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
    15 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

    End at: 18:24:04 | 05/04/2009
    .
    +-----------------| E.O.F - 124 Lines
    .

    Je continu la procédure :)
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7