Fichier YOa03660

Poppa-z Messages postés 123 Statut Membre -  
Poppa-z Messages postés 123 Statut Membre -
Bonjour,

Voila alors ça fais une semaine que mon pc a pris un virus (enfin je pense), je l'allume et puis 5 minute après dès qu'un logiciel charge ca me fais planter le logiciel jusqu'à ce que explorer plante et la je ne peut plus rien faire.

je l'ai donc démarrer en mode sans échec et ça marche donc je suis forcer de constater que cela ne viens pas de mon pc mais bien d'un fichier ! j'ai essayer de faire une restauration mais le même problème...

J'ai donc pris mon courage a deux main et j'ai lancé un scan de mon pc pendant que je suis en mode sans echec et la j'ai découvert un fichier que je ne connais pas :Q :

Nom du fichier : YOa03660
Type de fichier : fichier
Poids (ko) : 2 480 191 Ko

j'ai fais une recherche sur celui ci mais rien de concluant :( donc je m'en remet a vous cher ami internaute pour plus de détail demandé moi :)

Poppa-z

PS : - je ne suis pas sur mon pc mais sur un autre pc que j'ai retrouver dans les décombres de ma cave et qui est assez vieux :( sur mon pc a problème (qui est un pc portable packard bell) je suis sur un vista familiale :)

- je suis pas bon très professionnel du pc alors évité les jargon trop informaticien ^^
A voir également:

139 réponses

Réponse 1 / 139
steve2726 Messages postés 27 Statut Membre 3
 
si c'est vista du va avoir du mal a trouver un depannage tout ceux ki onnaissent bien l'informatique ne mette jamais vista!!!!!!
0
Réponse 2 / 139
Poppa
 
Ba j'espere quand même trouver quelqu'un parce que ca soule :(
0
Réponse 3 / 139
Utilisateur anonyme
 
salut poppa

Salut,


commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:


Télécharges et installes le logiciel de diagnostic :

ici Hijackthis
ou ici Hijackthis
ou ici Hijackthis

ou renommé



1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :(merci balltrap34)
Regardes ici, c'est parfaitement expliqué en images ,

( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

--->copies-colles le rapport généré pour analyse
0
Réponse 4 / 139
Poppa
 
je peut faire ceci en mode sans echec ou pas parce que si je peux pas mon ordi va planter :s
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 139
Utilisateur anonyme
 
non ca devrait etre assez rapide pour pas planter ca s execute en 10 s
0
Poppa
 
heu je veux b ien mais qu'est ce que tu apelle les application et comment je sais qu'elle sont toute fermer ?
0
Réponse 6 / 139
Utilisateur anonyme
 
les fenetres actives :)

IE,Mozilla,
msn, etc.....
0
Réponse 7 / 139
Utilisateur anonyme
 
c est vrai tu as raisoon meme de mon cote en le mettant ici il passe pas ton hijackthis
0
Réponse 8 / 139
Utilisateur anonyme
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:32:34, on 05/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\EvernY\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\EvernY\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\RelevantKnowledge\rlvknlg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1098640
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://format.packardbell.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: TBSB06009 - {2940074F-729F-4DF6-B300-96048173ED39} - C:\Program Files\MyExpressSearch\My Express Search Toolbar\my_express_search.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Adparatus - {8B2C7C9D-716D-4e9e-9358-B9C80A81B7ED} - C:\Program Files\Adparatus\Adparatus.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
O3 - Toolbar: My Express Search Toolbar - {6226BA26-C017-4007-928C-DE9715C6FA67} - C:\Program Files\MyExpressSearch\My Express Search Toolbar\my_express_search.dll
O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Program Files\BS.Player ControlBar\BSToolbar.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Program Files\myBabylon_English\tbmyBa.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [qsvybegj] "c:\users\everny\appdata\local\qsvybegj.exe" qsvybegj
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [CursorFX] "C:\Program Files\Stardock\CursorFX\CursorFX.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Outil de notification Live Search.lnk = C:\Users\EvernY\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bmqos.dll
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: KeenfinderSrch Service - Unknown owner - C:\ProgramData\KeenfinderSrch\keenfinder136.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: RelevantKnowledge - TMRG, Inc. - C:\Program Files\RelevantKnowledge\rlservice.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
0
Réponse 9 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
ka je galere a faire ce que tu ma dis car mon pc plante vite mais je persiste ^^
0
Réponse 10 / 139
Utilisateur anonyme
 
sinon tu peux le faire en mode sans echec avec prise en charge reseau
0
Réponse 11 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
oui c'est ce que je fais ^^
0
Réponse 12 / 139
Utilisateur anonyme
 
^^
0
Réponse 13 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
premier rapport demandé celui de ad-report :


------- LOGFILE OF AD-REMOVER 1.1.2.5 | ONLY XP/VISTA -------

Updated by C_XX on 01/04/2009 at 20:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

Start at: 17:22:00, Sun 05/04/2009 | Boot mode: Safe Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows Vista™ Home Premium Service Pack 1 (version 6.0.6001)
Computer Name: PC-TONY
Current User: EvernY - Administrator
Drive(s):
- C:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\Windows\
System Directory: C:\Windows\System32\

--- Running Processes: 24

+-----------------| Boonty/Boonty Games Elements Found:

.
.

+-----------------| Eorezo Elements Found:

HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Users\EvernY\AppData\Roaming\EoRezo
C:\Users\Invit‚\AppData\Roaming\Eorezo
C:\Users\Invit‚\AppData\Roaming\Microsoft\Windows\Cookies\invit‚@scache1.eorezo[1].txt

+-----------------| Infected Poker Softwares Elements Found:

.

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

.
.

+-----------------| It's TV Elements Found:

HKCU\Software\ItsLabel
HKLM\Software\ItsLabel
HKU\S-1-5-21-2059388694-3882764489-1881758984-1002\Software\ItsLabel
.
C:\Users\EvernY\AppData\Roaming\ItsLabel
C:\Users\Invit‚\AppData\Roaming\ItsLabel

+-----------------| Sweetim Elements Found:

HKCU\Software\SweetIM
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKLM\Software\SweetIM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Sweetim
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-2059388694-3882764489-1881758984-1002\Software\Sweetim
.
C:\Users\EvernY\AppData\Roaming\Mozilla\Firefox\Profiles\dt1a872i.default\searchplugins\sweetim.xml
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@sweetim[1].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[1].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[2].txt

============ Other Adwares Found ============

Service: RelevantKnowledge
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
HKLM\SYSTEM\CurrentControlSet\Services\RelevantKnowledge
HKCR\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
HKLM\Software\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
.
C:\Windows\icons\digsby.ico
C:\Program Files\Conduit
C:\Program Files\FileSubmit
C:\Program Files\RelevantKnowledge
C:\ProgramData\Microsoft\Windows\Startm~1\Programs\FileSubmit
C:\ProgramData\Microsoft\Windows\Startm~1\Programs\RelevantKnowledge
C:\Program Files\Conduit\Community Alerts\Alert.dll
C:\Windows\Installer\a632b5d.msi
C:\Windows\Prefetch\RLVKNLG.EXE-E04CF673.pf
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@atdmt[2].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[1].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[2].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[3].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[4].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[2].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[3].txt

+-----------------| Added Scan:

---- Mozilla FireFox Version 3.0.7 ----

ProfilePath: dt1a872i.default (EvernY)
.
Prefs.js: Browser.Search.DefaultEngineName: "Google"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
.
.
.
.

---- Internet Explorer Version 8.0.6001.18372 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Start page: hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640

+-[HKEY_USERS\S-1-5-21-2059388694-3882764489-1881758984-1002\..\Internet Explorer\Main]

Start page: hxxp://search.conduit.com?SearchSource=10&ctid=CT1098640

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start page: hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

+---------------------------------------------------------------------------+

5697 Byte(s) - C:\Ad-Report-Scan-05.04.2009.log

0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

End at: 17:30:27 | 05/04/2009
.
+-----------------| E.O.F - 112 Lines
.



tu as tous :p
0
Réponse 14 / 139
Utilisateur anonyme
 
non je t ai demandé navilog option 1 aussi
0
Réponse 15 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
ui j'ai dis 1er donc le premier est la le deuxieme je suis en train de le faire mais sa met du temps donc quand il est fini je te le fais passé ;)
0
Réponse 16 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
et voila le log Fixnavi :

Search Navipromo version 3.7.6 commencé le 05/04/2009 à 17:37:06,18

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz )
BIOS : Ver 1.00PARTTBL
USER : EvernY ( Not Administrator ! )
BOOT : Fail-safe with network boot




C:\ (Local Disk) - NTFS - Total:141 Go (Free:16 Go)
D:\ (CD or DVD)
I:\ (CD or DVD)


Recherche executé en mode sans échec


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\MessengerSkinner trouvé !
...\SudoPlanet trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\everny\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\EvernY\AppData\Local\virtualstore\Program Files" ***



*** Recherche dossiers dans "C:\Users\EvernY\AppData\Local" ***



*** Recherche dossiers dans "C:\Users\Emilie\AppData\Local" ***



*** Recherche dossiers dans "C:\Users\INVIT~1\AppData\Local" ***




*** Recherche dossiers dans "C:\Users\EvernY\AppData\Roaming" ***


*** Recherche dossiers dans "C:\Users\Emilie\appdata\roaming" ***


*** Recherche dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\EvernY\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\EvernY\AppData\Local" *

* Recherche dans "C:\Users\Emilie\AppData\Local" *

* Recherche dans "C:\Users\INVIT~1\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qsvybegj"="\"c:\\users\\everny\\appdata\\local\\qsvybegj.exe\" qsvybegj"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\EvernY\AppData\Local\Microsoft" :


* Dans "C:\Users\EvernY\AppData\Local" :

aiaiu_navtmp.dat trouvé !
qsvybegj.bat trouvé !

* Dans "C:\Users\Emilie\AppData\Local" :


* Dans "C:\Users\INVIT~1\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 05/04/2009 à 18:00:41,32 ***


La tu as vraiment tous ^^
0
Réponse 17 / 139
Utilisateur anonyme
 
*******************************************************
*************** Option B (Suppression) ***************
*******************************************************

/!\ Déconnecte-toi et ferme toutes applications en cours /!\


Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

Choisis A

Puis choisis S, le programme va travailler.

Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.log)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)

Aides en images ( Nettoyage )

ensuite :


*************************************************************
*************** Option C (Désinstallation) ***************
*************************************************************

* Relance "Ad-remover" : au menu principal choisis l'option "C" .
* Clique sur ok quand l avertissement apparait.

ensuite :


Option 2 - Suppression :

* Double clique sur le raccourci de Navilog.
* Choisis l'option 2 puis valide. (Entrée)
* Laisse toi guider.
* Ton ordinateur va redémarrer, sinon fais le manuellement.
* Ton bureau va disparaître.
* Après un certain temps, le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport.
* Referme le Bloc-notes. Ton bureau va maintenant réapparaître.


Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau

Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

VIP

Si tu les trouves, fais ceci :
* Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
* Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.

Ensuite pour chacun des certificats présents sur ton bureau :
* Va sur le site Web :
https://www.bleepingcomputer.com/submit-malware.php?channel=35
* Copie/colle ceci dans la case 'Link to Topic' :
le nom du certificat (Montorgueil ,......)
* Copie/colle ceci dans la case 'Browse to the File' :
Le certificat correspondant que tu avais exportés vers ton bureau

Si c'est fait, supprime enfin le certificat présent sur ton bureau.

Les programmes suivants installent cette infection :

* go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer
* Sur le site www.games-desktop.com (n'allez pas dessus!!)
* BitDownload
* BitGrabber
* BitRoll
* MessengerPlus! 3 sous le nom de sponsors
* Messenger Plus! Live sous le nom de sponsors
* NetPumper
* TorrentQ
* Torrent101
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site hxxp://www.games-desktop.com (Ne pas aller dessus!)

* Poste le rapport sauvegardé auparavant (C:\cleannavi.txt) ainsi qu'un nouveau rapport Hijackthis.
0
Réponse 18 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
ok j'ai deja commencer je te post ca dès que j'y ai ;)
0
Réponse 19 / 139
Utilisateur anonyme
 
ok impec :)
0
Réponse 20 / 139
Poppa-z Messages postés 123 Statut Membre 6
 
option B terminé (supression) voici le log :


------- LOGFILE OF AD-REMOVER 1.1.2.5 | ONLY XP/VISTA -------

Updated by C_XX on 01/04/2009 at 20:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

**** LIMITED TO ****

Boonty/BoontyGames
Eorezo
Infected Poker Softwares
FunWebProduct/MyWay/MyWebSearch
It's TV
Sweetim
Other Adwares

********************

Start at: 18:13:04, Sun 05/04/2009 | Boot mode: Safe Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows Vista™ Home Premium Service Pack 1 (version 6.0.6001)
Computer Name: PC-TONY
Current User: EvernY - Administrator
Drive(s):
- C:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\Windows\
System Directory: C:\Windows\System32\

--- Running Processes: 24

(!) ---- IE start pages/Tabs reset

+-----------------| Boonty/Boonty Games Elements Deleted :

.
.

+-----------------| Eorezo Elements Deleted :

HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Users\EvernY\AppData\Roaming\EoRezo
C:\Users\Invit‚\AppData\Roaming\Eorezo
C:\Users\Invit‚\AppData\Roaming\Microsoft\Windows\Cookies\invit‚@scache1.eorezo[1].txt

+-----------------| Infected Poker Softwares Elements Deleted :

.

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :

.
.

+-----------------| It's TV Elements Deleted :

HKCU\Software\ItsLabel
HKLM\Software\ItsLabel
.
C:\Users\EvernY\AppData\Roaming\ItsLabel
C:\Users\Invit‚\AppData\Roaming\ItsLabel

+-----------------| Sweetim Elements Deleted :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Sweetim
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Internetregistry\Registry\User\S-1-5-21-2059388694-3882764489-1881758984-1002\Software\Sweetim
HKCU\Software\SweetIM
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKLM\Software\SweetIM
.
C:\Users\EvernY\AppData\Roaming\Mozilla\Firefox\Profiles\dt1a872i.default\searchplugins\sweetim.xml
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@sweetim[1].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[1].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@www.sweetim[2].txt

============ Other Adwares Deleted ============

Service: "RelevantKnowledge"
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
HKCR\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
.
C:\Windows\icons\digsby.ico
C:\Program Files\Conduit
C:\Program Files\FileSubmit
C:\Program Files\RelevantKnowledge
C:\ProgramData\Microsoft\Windows\Startm~1\Programs\FileSubmit
C:\ProgramData\Microsoft\Windows\Startm~1\Programs\RelevantKnowledge
C:\Windows\Installer\a632b5d.msi
C:\Windows\Prefetch\RLVKNLG.EXE-E04CF673.pf
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@atdmt[2].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[1].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[2].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[3].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@bs.serving-sys[4].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[2].txt
C:\Users\EvernY\AppData\Roaming\Microsoft\Windows\Cookies\everny@search.conduit[3].txt

---- Complementary Cleaning + Heuristic ----


... Done !


(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+-----------------| Added Scan :

---- Mozilla FireFox Version 3.0.7 ----

ProfilePath: dt1a872i.default (EvernY)
.
Prefs.js: Browser.Search.DefaultEngineName: "Google"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
.
.
.
.

---- Internet Explorer Version 8.0.6001.18372 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+-[HKEY_USERS\S-1-5-21-2059388694-3882764489-1881758984-1002\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://fr.msn.com/

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

+---------------------------------------------------------------------------+

5999 Byte(s) - C:\Ad-Report-Clean-05.04.2009.log
2807 Byte(s) - C:\Ad-Report-Scan-05.04.2009.log

1 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
15 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

End at: 18:24:04 | 05/04/2009
.
+-----------------| E.O.F - 124 Lines
.


Je continu la procédure :)
0

Discussions similaires

Chemin Logo du site de la Cité de l'espace
Keiios -
blux -

11 réponses