analyse scan rav

Question

Après avoir lu plusieurs échanges de mail et plusieurs méthodes de détection dans ce site , je joins le retour de mon scan rav.Est ce que quelqu'un peut m'aider à analyser ce retour qui ne veut strictement rien dire pour moiMerciScan started at 05/03/05 18:35:35 Scanning memory...c:\WINDOWS	askmon.exe.$$$ - TrojanDownloader:Win32/Agent.Z -> Infectedc:\WINDOWS\scanregw.exe - TrojanDownloader:Win32/Agent.Z -> Infectedc:\WINDOWS\DOWNLOADED - TrojanDownloader:Win32/Agent.Z -> Infectedc:\WINDOWS\ADDJE32.EXE.$$$ - TrojanDownloader:Win32/Agent.Z -> Infectedc:\WINDOWS\ultzli.log - TrojanDownloader:Win32/WinShow.AK -> Suspiciousc:\WINDOWS\SYSTEM\mpekb.dll - TrojanDownloader:Win32/WinShow.AK -> SuspiciousScanned============================	Objects: 16680	Directories: 1751	Archives: 489	Size(Kb): 499800	Infected files: 4Found============================	Viruses found: 1	Suspicious files: 2	Disinfected files: 0	Mail files: 84

balltrap34 · Answer

saluttu te met en mode sans echec tu recherche et suppr les fichiers ne te trompe pas de fichier fait attention a l ortographe

dave · Answer

Salut Balltrap,Je te remercie pour l'info, mais peux tu me préciser comment faire pour se mettre en mode sans échec ?Mon inveau informatique est préhistorique, mais en lisant toutes vos interventions sur ce site, j'ai l'impression de suivre une formation accélérée.Merci d'avance.

balltrap34 · Answer

okien mode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5

Dave · Answer

Merci BalltrapJ'ai donc exécuté mot pour mot ce que tu m'as conseillé, et j'ai ensuite réalisé un scan avec hijackthis.Je te joins le rapport, qui je l'imagine te diras quelque chose, parce que pour moi, à la lecture, cela est aussi coompréhensible que du chinois.Merci d'avanceLogfile of HijackThis v1.99.1Scan saved at 12:46:41, on 06/03/05Platform: Windows 98 SE (Win9x 4.10.2222A)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\ATI2EVXX.EXEC:\WINDOWS\SYSTEM\NETEK32.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXEC:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXEC:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXEC:\WINDOWS\SYSTEM\USBMONIT.EXEC:\WINDOWS\LOADQM.EXEC:\WINDOWS\SYSTEM\QTTASK.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXEC:\WINDOWS\IEME.EXEC:\WINDOWS\SYSTEM\SYSTEM.EXEC:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\HIJACKTHIS.EXEC:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXEC:\WINDOWS\SYSTEM\DDHELP.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCXO2 - BHO: Class - {5F4A9E99-EF4A-BFD5-8322-B010102E0DED} - C:\WINDOWS\SYSTEM\D3DT32.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXEO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIETO4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /hO4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottimeO4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [IEME.EXE] C:\WINDOWS\IEME.EXEO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exeO4 - HKLM\..\RunServices: [NETEK32.EXE] C:\WINDOWS\SYSTEM\NETEK32.EXEO4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\SYSTEM\SYSTEM.EXEO4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXEO4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: PowerReg SchedulerV2.exeO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra button: Dell Home - {D76197A0-E208-11D4-B351-A3A92CBE7D42} - http://www.euro.dell.com/countries/fr/fra/gen/default.htm (file missing) (HKCU)O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

balltrap34 · Answer

salutimprime ceci pour ne rien oublier et tous fairetous faire dans l ordre imperativement-------------------------tous da bord telecharge ces programmes et met les a jour mais ne les utilise pas encoreadaware (1)spyboot (2)    (ici)               http://pageperso.aol.fr/balltrap34/page%20virus.htm----------------telecharge aussiAbout:Buster.  Tu le télécharges sur :  http://tools.zerosrealm.com/AboutBuster.zipou sur  http://www.majorgeeks.com/download4289.htmla mettre a jour aussi et a utiliser plus tard------------------------demarre en mode sans echecmode sans echec pour cela tu tapote la touche f8 des le debut de l allumage du pc sans t arreter une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5------------------------- assure toi de ceci Affiche tous les fichiers et dossiers : cliquer sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer ----------------------vide tes fichiers temps et tempory internet file sur tous les utilisateur utilise ceci pour le faire http://pageperso.aol.fr/Balltrap34/CleanUp312.exeou cherche cela se situe sur c:document and setting/ administrateur/local setting /temp                         c:document and setting/ administrateur/local setting /temporary internet                         c:document and setting/ default users/local setting /temp                          c:document and setting/ default users/local setting /temporary internet                         c:document and setting/ ton nom/local setting /temp                          c:document and setting/ ton nom/local setting /temporary internet                         c:document and setting/ local service/local setting /temp                          c:document and setting/ local service/local setting /temporary internet                          C:\WINDOWS\TEMP               --------------------relance hijack coche ces lignes et  ensuite clik sur fixR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\mpekb.dll/sp.html#93256 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: Class - {5F4A9E99-EF4A-BFD5-8322-B010102E0DED} - C:\WINDOWS\SYSTEM\D3DT32.DLL O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\SYSTEM\SYSTEM.EXE O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm ----------------------recherche et suppr ceciattention seulement les fichiers en grasC:\WINDOWS\system\mpekb.dll/sp.html#93256 C:\WINDOWS\SYSTEM\D3DT32.DLLC:\WINDOWS\SYSTEM\SYSTEM.EXE  C:\WINDOWS\web\related.htm ---------------la utilise about buster que je t ai fait telechargerexecute le deux fois----------passe  adaware et vire tous se qu il trouve    ---------- passe spy boot et vire tous se qu il trouvent-------------tu vide ta poubelle et tu redemarre en mode normal et refait un hijack --

dave · Answer

Merci Balltrap,Merci pour l'info, je mange et je m'y mets. Bon appêtit à toi A+

balltrap34 · Answer

mercia++

dave · Answer

Salut Balltrap,J'ai éxécuté l'ensemble des éléments que tu m'as conseillé. J'ai rencontré un problème lors de l'éxécution  d'about buster, car il n'apparaît pas comme un fichier exe, mais avec un icone blanc dans le quel apparaît le drapeau de windows avec pour titre aboutbuster. zip, et lorsque je veux le lancer il me demande avec quel programme il faut le lancer. Donc c'est la seule chose que je n'ai pas pu réaliser.Pour le reste c'est OK et je te joins le rapport hijackthis merci de tes commentairesLogfile of HijackThis v1.99.1Scan saved at 15:18:48, on 06/03/05Platform: Windows 98 SE (Win9x 4.10.2222A)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\ATI2EVXX.EXEC:\WINDOWS\SYSTEM\NETEK32.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXEC:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXEC:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXEC:\WINDOWS\SYSTEM\USBMONIT.EXEC:\WINDOWS\LOADQM.EXEC:\WINDOWS\SYSTEM\QTTASK.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXEC:\WINDOWS\IEME.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\HIJACKTHIS.EXER3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCXO2 - BHO: Class - {214827F0-3D1E-01DE-2873-544D6D4CEBAA} - C:\WINDOWS\WINCO32.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXEO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIETO4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /hO4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottimeO4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [IEME.EXE] C:\WINDOWS\IEME.EXEO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exeO4 - HKLM\..\RunServices: [NETEK32.EXE] C:\WINDOWS\SYSTEM\NETEK32.EXEO4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: PowerReg SchedulerV2.exeO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

balltrap34 · Answer

relance hijackcoche et fixR3 - Default URLSearchHook is missing O2 - BHO: Class - {214827F0-3D1E-01DE-2873-544D6D4CEBAA} - C:\WINDOWS\WINCO32.DLL

dave · Answer

Merci pour tes précieux conseils Balltrap.Je te joins le nouveau rapport Hijackthis, penses tu que mon ordi est maintenant à peu près propre ?Logfile of HijackThis v1.99.1Scan saved at 15:41:54, on 06/03/05Platform: Windows 98 SE (Win9x 4.10.2222A)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\ATI2EVXX.EXEC:\WINDOWS\SYSTEM\NETEK32.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXEC:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXEC:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXEC:\WINDOWS\SYSTEM\USBMONIT.EXEC:\WINDOWS\LOADQM.EXEC:\WINDOWS\SYSTEM\QTTASK.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXEC:\WINDOWS\IEME.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXEC:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXEC:\WINDOWS\SYSTEM\SPOOL32.EXEC:\PROGRAM FILES\MICROSOFT WORKS\MSWORKS.EXEC:\PROGRAM FILES\HIJACKTHIS.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCXO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXEO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIETO4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /hO4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottimeO4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [IEME.EXE] C:\WINDOWS\IEME.EXEO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exeO4 - HKLM\..\RunServices: [NETEK32.EXE] C:\WINDOWS\SYSTEM\NETEK32.EXEO4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: PowerReg SchedulerV2.exeO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

balltrap34 · Answer

relance hijackcoche ceciR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 clik sur fix------------il faut a tous prix lancer about buster le mettre a jour et le passer deux fois

dave · Answer

J'ai bien relancé hijack, mais lorsque je charge about buster sur le stite Majorgeek, mais lorsque je veux l'ouvrir, il me présente un cadre en haut à gauche et et demande chsoisir avec quel programme je dois le lancer.Sur le site majorgeeks, peux tu me dire précisemment ce que je dois charger car peux être que je ne charge pas le bon, à priori il y a plusieurs versions avec un drapeau US et une version avec un drapeau Austalien.Merci encore

balltrap34 · Answer

prend le iciet pense a le mettre a jourhttp://pageperso.aol.fr/Balltrap34/AboutBuster.exe

dave · Answer

Qu'est ce que cela veut dire mettre à jour. En fait je l'enregistre dans mon fichier program file et le le lance, est ce que c'est tout ce qu'il y faut faire ou est omis quelque chose ?merci

balltrap34 · Answer

tu le lance et tu clik sur updateil faut etre connecterensuite tu le passe deux foix mais avant il faut cocher les lignes dans hijack et fix

dave · Answer

Je te joins mon dernier  rapport hijack pour que tu puisses me dire ed que je dois fixer. Ensuite je mettrai le about buster.merci pour toute ton aideC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\SYSTEM\ATI2EVXX.EXEC:\WINDOWS\SYSTEM\NETEK32.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXEC:\PROGRAM FILES\MICROSOFT HARDWARE\MOUSE\POINT32.EXEC:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\PROGRAM FILES\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXEC:\WINDOWS\SYSTEM\USBMONIT.EXEC:\WINDOWS\LOADQM.EXEC:\WINDOWS\SYSTEM\QTTASK.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXEC:\WINDOWS\IEME.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXEC:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXEC:\PROGRAM FILES\HIJACKTHIS.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256R3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCXO2 - BHO: Class - {214827F0-3D1E-01DE-2873-544D6D4CEBAA} - C:\WINDOWS\WINCO32.DLLO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXEO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIETO4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /hO4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\Run: [Gene USB Monitor] c:\windows\SYSTEM\USBMonit.exeO4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottimeO4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exeO4 - HKLM\..\Run: [IEME.EXE] C:\WINDOWS\IEME.EXEO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exeO4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXEO4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exeO4 - HKLM\..\RunServices: [NETEK32.EXE] C:\WINDOWS\SYSTEM\NETEK32.EXEO4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exeO4 - Startup: PowerReg SchedulerV2.exeO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

moe · Answer

salut daveC'est 2 fichiers sont tres suspects:C:\WINDOWS\IEME.EXE C:\WINDOWS\SYSTEM\NETEK32.EXE fais les analyser ici, ca ne prend que quelques secondes:http://virusscan.jotti.org/ ensuite on verra pour hijackthis

balltrap34 · Answer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ygeue.dll/sp.html#93256 R3 - Default URLSearchHook is missing

dave · Answer

Re-salut Balltrap,Je me mets sur l'nalyse des deux dossiers qui te parraissent suspects et je te tiens au courant.a+

balltrap34 · Answer

quand tu auras fait se que je t ai dit refait un hijack

dave · Answer

Voici pour le premier dossier IEME.EXE

Service load: 0% 100%

File: IEME.EXE
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir TR/Dldr.Agent.BQ (0.81 seconds taken)
Avast Win32:Trojano-994 (3.89 seconds taken)
AVG Antivirus Downloader.Agent.9.BF (1.78 seconds taken)
BitDefender Trojan.Downloader.Agent.BQ (2.70 seconds taken)
ClamAV No viruses found (2.03 seconds taken)
Dr.Web Trojan.DownLoader.1799 (4.56 seconds taken)
F-Prot Antivirus W32/Agent.JK@dl (0.23 seconds taken)
Fortinet W32/Agent.MQ-tr (1.33 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq (3.00 seconds taken)
mks_vir Trojan.Downloader.Agent.Bq (0.78 seconds taken)
NOD32 No viruses found (2.34 seconds taken)
Norman Virus Control No viruses found (6.66 seconds taken)

Voici le second.

Service load: 0% 100%

File: NETEK32.EXE
Status: INFECTED/MALWARE
Packers detected: PE-CRYPT.SQR, UPX

AntiVir TR/Agent.bi1 (0.43 seconds taken)
Avast Win32:Trojano-995 (1.52 seconds taken)
AVG Antivirus No viruses found (0.49 seconds taken)
BitDefender Trojan.Agent.BI (0.63 seconds taken)
ClamAV No viruses found (0.67 seconds taken)
Dr.Web Trojan.Filtr (0.92 seconds taken)
F-Prot Antivirus W32/Backdoor.AWX (0.09 seconds taken)
Fortinet No viruses found (0.45 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Agent.bi (1.26 seconds taken)
mks_vir Trojan.Agent.Bi (0.22 seconds taken)
NOD32 No viruses found (0.50 seconds taken)
Norman Virus Control No viruses found (0.69 seconds taken)

Statistics
No sample yet

Qu'en penses tu ?

merci

balltrap34 · Answer

ils sont infecter tu les suppr

dave · Answer

Suppression impossible de supprimer ces deux fichiers car un encadré apparaît etme spécifie ques ces dossiers sont utilisés par windows.So ??????

balltrap34 · Answer

il faut les suppr en mode sans echec

balltrap34 · Answer

tu me passe par dessus non maisMDR

bernie61 · Answer

re salutje croyais que tu étais déjà au lit car j'avais lu dans l'autre msg que tu laissais la suite à d'autres, lola+

balltrap34 · Answer

je parlais de demain car sur le post il disait qu il arreter pour se soirc est pas grave je plaisanteil y a plus grand monde je suis en train de me balader de forum en forum

dave · Answer

Merci pour tout les gars.La nuit portant conseil, j'utiliserai vos précieux conseils le plus rapidement possible en semaine, et n'hésiterai pas encore à vous solliciter.Bonne nuit et bon WE

Analyse scan rav - Page 2

Discussions similaires

Newsletters