Problème de pub,analyse hijackthis

Question

Bonjour,
voila depuis quelques temps j'ai un soucis de fenêtres de pub qui s'ouvre automatiquement (à peu près toutes les 2H).J'ai mis un petit coup de CC cleaner et de spybot qui n'a rien détecté et de temps en temps en éteignant mon pc (je ne sais pas si c'est lié),il m'affiche le message : "le programme sxdpdyer.exe ne répond pas".Je crois qu'il faut commencer par une analyse hijackthis donc je vous poste le rapport.Si quelqu'un pouvais m'expliquer la marche à suivre pour corriger ses 2 problèmes.Merci d'avance pour votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:17:05, on 11/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Soft2PC\soft2pc.exe
C:\Documents and Settings\Yannick CAMBOU\Application Data\Soft2PC\Software\SoftwareHP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\documents and settings\yannick cambou\local settings\application data\fqcugxq.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\aMSN\bin\wish.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 2\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Yannick CAMBOU\Mes documents\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SOFT2PCBHO - {3475D2C4-BBD1-4255-A70D-4125A4D30956} - C:\Program Files\Soft2PC\soft2pcBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TMFE.tmp
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [soft2PC] "C:\Program Files\Soft2PC\soft2pc.exe"
O4 - HKLM\..\Run: [Helper] C:\Documents and Settings\Yannick CAMBOU\Application Data\Soft2PC\Software\SoftwareHP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [fqcugxq] "c:\documents and settings\yannick cambou\local settings\application data\fqcugxq.exe" fqcugxq
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\Yannick CAMBOU\scriptjava.html
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Yannick CAMBOU\Mes documents\My Games\governor of poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Yannick CAMBOU\Mes documents\My Games\governor of poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS4\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS5\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS6\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS7\Services\Tcpip\..\{34EA2D08-5D88-45B6-B07F-BA1BE5F8A139}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

truecode · Answer

Bonjour,

Commence par cette méthode pour supprimer eorezo : 

Désactiver sa avant Spybot - Search & Destroy\TeaTimer.exe  

•Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau. 

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\ 

•Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files). 
•Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau. 
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
•Au menu principal, choisis l'option S. 
•Poste le rapport généré (C:\Ad-Report-Scan-(date).log). 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

crusti · Answer

Bonjour true code,
merci de prendre un peu de temps.Voila le rapport:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à:  9:48:19, 11/03/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: YANNICK | Utilisateur actuel: Yannick CAMBOU
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

C:\Documents and Settings\Yannick CAMBOU\scriptjava.html 
C:\Documents and Settings\Yannick CAMBOU	emp1.6 
C:\DOCUME~1\YANNIC~1\APPLIC~1\Mozilla\FireFox\Profiles\uhti7jzm.default\searchplugins\cherche.xml 
C:\DOCUME~1\YANNIC~1\APPLIC~1\Mozilla\FireFox\Profiles\uhti7jzm.default\searchplugins\sweetim.xml 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Titan Poker.lnk 
C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
C:\DOCUME~1\YANNIC~1\APPLIC~1\Microsoft\Internet Explorer\Quick Launch\Titan Poker.lnk 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Titan Poker 
C:\DOCUME~1\YANNIC~1\APPLIC~1\EoRezo 
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Games-Attack 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\dtjyvf.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\dtjyvf_nav.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\dtjyvf_navps.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq.exe 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq_navps.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq.exe 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq_navps.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica.exe 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica_nav.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica_navps.dat 
.
HKCU\software\EoRezo
HKCU\software\fcn
HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\fqcugxq
HKCU\software\SweetIM
HKCU\software\Titan Poker
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\software\classes\appid\EoRezoBHO.DLL
HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\software\EoRezo
HKLM\Software\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}
HKLM\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Helper
HKLM\software\microsoft\windows\currentversion\uninstall\fqcugxq
HKLM\software\SweetIM
HKLM\software\Titan Poker
HKU\s-1-5-21-1123561945-492894223-839522115-1003\software\EoRezo
HKU\s-1-5-21-1123561945-492894223-839522115-1003\software\fcn
HKU\s-1-5-21-1123561945-492894223-839522115-1003\software\SweetIM
HKU\s-1-5-21-1123561945-492894223-839522115-1003\software\Titan Poker
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
 Nom du profil: uhti7jzm.default (Yannick CAMBOU)
.
(YANNIC~1, prefs.js) Browser.download.lastDir, D:	of
(YANNIC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/webhp?hl=fr&source=hp&btnG=Recherche+Google
(YANNIC~1, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,searchrecs@veoh.com:1.5.1,{635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(YANNIC~1, prefs.js) Keyword.URL, hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
. 
. 
. 
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.com/
Search Page: hxxp://www.google.com
Enable Browser Extensions: yes
Search Bar: hxxp://www.google.com/ie
Default_Search_URL: hxxp://www.cherche.us/keyword/
Use Search Asst: no
SearchAssistant: 
Default_Page_URL: hxxp://www.cherche.us
First Home Page: hxxp://y.lo.st
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
Search Bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://www.lo.st/?tabs
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Yannick CAMBOU\Bureau\cs4\Adobe Illustrator CS4 (Multilingue compreso Italiano) + CRACK.rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\Mes fichiers re‡us\TPPatchTwoEUROAMER20000324a.exe
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\fl 7\Fruity Loops 7 + Crack + Soundfonts.rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\fl studio 6.0.8\FL Studio 6.0.8 + Crack.aka Fruity loops+all plugins unlocked!(XXL Edition).rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\ISO Microsoft Windows XP Home Edition SP2 + Professional SP2 + Tablet PC 2005 [All ES] + Serial.zip
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\all_xp_keygen.zip
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\TheBlueList.nfo
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\XPKey.exe
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\I386\faxpatch.exe
.
===================================
.
7599 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
13 Fichier(s) - C:\DOCUME~1\YANNIC~1\LOCALS~1\Temp 
3 Fichier(s) - C:\WINDOWS\Temp 
128 Fichier(s) - C:\WINDOWS\Prefetch 
.
2 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à:  9:49:27 | 11/03/2010 - SCAN[1]
.
============== E.O.F ==============
.

truecode · Answer

Maintenant on passe au nettoyage ; 

Relance Ad remover et choisi l'option de nettoyage " L" ensuite poste le rapport.

Puis lance cette analyse RSIT est un outil de diagnostic qui me permettra de vérifier la trace d'autre infections : 

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

crusti · Answer

Désolé j'ai mis un peu de temps alors j'ai fais ce que tu m'as dit,j'imagine que c'est normal que le pc ai redémarrer.Au passage j'ai un message avant le redémarage "le programme fcqcugxp.exe ne répond pas.
voila les liens pour les rapports.
rapport ad remove j'ai pas réussis à l'héberger):

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:04:19, 11/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: YANNICK | Utilisateur actuel: Yannick CAMBOU
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Documents and Settings\Yannick CAMBOU\scriptjava.html 
C:\Documents and Settings\Yannick CAMBOU	emp1.6 
C:\DOCUME~1\YANNIC~1\APPLIC~1\Mozilla\FireFox\Profiles\uhti7jzm.default\searchplugins\cherche.xml 
C:\DOCUME~1\YANNIC~1\APPLIC~1\Mozilla\FireFox\Profiles\uhti7jzm.default\searchplugins\sweetim.xml 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Titan Poker.lnk 
C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
C:\DOCUME~1\YANNIC~1\APPLIC~1\Microsoft\Internet Explorer\Quick Launch\Titan Poker.lnk 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Titan Poker 
C:\DOCUME~1\YANNIC~1\APPLIC~1\EoRezo 
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Games-Attack 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\dtjyvf.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\dtjyvf_nav.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\dtjyvf_navps.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq.exe 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\fqcugxq_navps.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica.exe 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica_nav.dat 
C:\Documents and Settings\Yannick CAMBOU\Local Settings\Application Data\qoica_navps.dat 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\EoRezo
HKCU\software\fcn
HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{EEE6C35B-6118-11DC-9C72-001320C79847} 
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\fqcugxq 
HKCU\software\SweetIM
HKCU\software\Titan Poker
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\software\classes\appid\EoRezoBHO.DLL
HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\software\EoRezo
HKLM\Software\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}
HKLM\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\EoEngine 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Helper 
HKLM\software\microsoft\windows\currentversion\uninstall\fqcugxq
HKLM\software\SweetIM
HKLM\software\Titan Poker
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
 Nom du profil: uhti7jzm.default (Yannick CAMBOU)
.
(YANNIC~1, prefs.js) Browser.download.lastDir, D:	of
(YANNIC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/webhp?hl=fr&source=hp&btnG=Recherche+Google
(YANNIC~1, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,searchrecs@veoh.com:1.5.1,{635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(YANNIC~1, prefs.js) Keyword.URL, hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
. 
. 
. 
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Use Search Asst: no
SearchAssistant: 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Yannick CAMBOU\Bureau\cs4\Adobe Illustrator CS4 (Multilingue compreso Italiano) + CRACK.rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\Mes fichiers re‡us\TPPatchTwoEUROAMER20000324a.exe
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\fl 7\Fruity Loops 7 + Crack + Soundfonts.rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\fl studio 6.0.8\FL Studio 6.0.8 + Crack.aka Fruity loops+all plugins unlocked!(XXL Edition).rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\ISO Microsoft Windows XP Home Edition SP2 + Professional SP2 + Tablet PC 2005 [All ES] + Serial.zip
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\all_xp_keygen.zip
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\TheBlueList.nfo
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\XPKey.exe
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\I386\faxpatch.exe
.
===================================
.
7081 Octet(s) - C:\Ad-Report-CLEAN[1].log 
7937 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
2 Fichier(s) - C:\DOCUME~1\YANNIC~1\LOCALS~1\Temp 
3 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
19 Fichier(s) - C:\Ad-Remover\BACKUP
28 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 10:06:14 | 11/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.

log.txt: http://www.cijoint.fr/cjlink.php?file=cj201003/cij3fHLem8.txt
info txt:http://www.cijoint.fr/cjlink.php?file=cj201003/cijtprjNwi.txt

truecode · Answer

•Lance hijackthis
•Choisis "Do a scan only" 
•Coche la case devant les lignes suivantes : 


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st


•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
•Clique sur "Fix checked". 
•Ferme Hijackthis. 

Puis réalise cette manip qui va détecter dans un premier temps l'infection via disque dur amovible que tu as puis on la supprimera : 

• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
•  Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
•  Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
•  Poste le rapport UsbFix.txt. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

crusti · Answer

OK j'ai fais les manips mais par contre je n'ai pas de disque dur externes ni rien de tout ça.J'en branche de temps en temps mais c'est ceux des amis.Voila le rapport (le message "ce pc n'est pas vacciné ça fais flipper).


############################## | UsbFix V6.099 |

User : Yannick CAMBOU (Administrateurs) # YANNICK
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:32:55 | 11/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100310-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 127,99 Go (20,12 Go free) # NTFS
D:\ -> Disque fixe local # 337,77 Go (32,03 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{3e851f9f-a0a3-11de-bca3-001e2a384634}
SHeLl\AutoRun\command =G:\storage\sys.exe 
SHeLl\opEN\coMmand =G:\storage\sys.exe 

HKCU\..\..\Explorer\MountPoints2\{522b0958-d903-11de-bd0b-001e2a384634}
Shell\AutoRun\command =G:\MobileLaunch.exe 
Shell\mobile\command =G:\MobileLaunch.exe 

HKCU\..\..\Explorer\MountPoints2\{c2012460-9949-11dd-bacd-001d7d75d879}
Shell\AutoRun\command =G:\p3r1ud.exe 
Shell\explore\Command =G:\p3r1ud.exe 
Shell\open\Command =G:\p3r1ud.exe 

HKCU\..\..\Explorer\MountPoints2\{d42f0aea-a5f5-11dd-bada-001d7d75d879}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{e0bafee0-8fca-11dd-bac2-001d7d75d879}
Shell\AutoRun\command =b0j6j16.bat 
Shell\explore\Command =b0j6j16.bat 
Shell\open\Command =b0j6j16.bat 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.099 ! |

truecode · Answer

Un branchement suffit pour propager l'infection . 


• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
•  Choisis l'option 2 (Suppression).
•  Ton Bureau disparaîtra et le PC redémarrera.
•  Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
•  Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).   

Ensuite réalise cette analyse généraliste :


•Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

•Double clique sur le fichier téléchargé
•Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
•Quand la mise à jour est terminé va dans l'onglet
•Tu sélectionne "Exécuter un examen complet"
•Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

•L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.
•Maintenant tu clique sur "Ok" pour poursuivre.
•Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
•Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
•Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
•Le Bloc-notes va s'ouvrir avec le rapport d'analyse
•Fais un copier coller de ce rapport etposte-le dans ton prochain message.

crusti · Answer

Ca y est finit voici les rapports (encore une fenetre pub qui vient de s'affiché):

ubifix.txt:


############################## | UsbFix V6.099 |

User : Yannick CAMBOU (Administrateurs) # YANNICK
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:43:56 | 11/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100310-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 127,99 Go (20,07 Go free) # NTFS
D:\ -> Disque fixe local # 337,77 Go (32,03 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1123561945-492894223-839522115-1003 
Supprimé ! D:\Recycler\S-1-5-21-1123561945-492894223-839522115-1003 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{3e851f9f-a0a3-11de-bca3-001e2a384634}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{522b0958-d903-11de-bd0b-001e2a384634}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c2012460-9949-11dd-bacd-001d7d75d879}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d42f0aea-a5f5-11dd-bada-001d7d75d879}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e0bafee0-8fca-11dd-bac2-001d7d75d879}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[11/03/2010 10:06|--a------|7463] C:\Ad-Report-CLEAN[1].log 
[26/09/2008 17:41|--a------|0] C:\AUTOEXEC.BAT 
[05/02/2010 14:32|---hs----|212] C:\boot.ini 
[30/08/2002 13:00|-rahs----|4952] C:\Bootfont.bin 
[26/09/2008 17:41|--a------|0] C:\CONFIG.SYS 
[26/09/2008 17:41|-rahs----|0] C:\IO.SYS 
[26/09/2008 17:41|-rahs----|0] C:\MSDOS.SYS 
[26/09/2008 19:15|-rahs----|47564] C:\NTDETECT.COM 
[26/09/2008 19:37|-rahs----|252240] C:\ntldr 
[29/02/2004 16:44|--a------|52576] C:\orange.bmp 
[21/01/2010 02:16|--a------|230432] C:\PA7302.DAT 
[?|?|?] C:\pagefile.sys 
[14/05/2009 14:24|--a------|4702] C:\resetlog.txt 
[11/03/2010 11:45|--a------|2178] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_YANNICK.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.099 ! |


Rapport de MBAM:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3851
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11/03/2010 12:20:51
mbam-log-2010-03-11 (12-20-51).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 214908
Temps écoulé: 26 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Yannick CAMBOU\Application Data\Soft2PC\Software\software.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Yannick CAMBOU\Application Data\Soft2PC\Software\softwareHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\XPKey.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\My Games\titeuf\crack\Titeuf.exe (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Documents and Settings\Yannick CAMBOU\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

truecode · Answer

C'est bien pas mal de menage de fait : 


•Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le Bureau. 
•Double-clique sur Navilog1.exe afin de lancer l'installation.
•Si le fix ne se lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le Bureau. ( sous vista clic droit -> executer en tant qu'administrateur
•Appuie sur F ou f puis valide par Entrée. 
•Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options. 
•Choisis l' option 1 et appuie sur la touche Entrée pour valider ton choix. 
•Patiente jusqu'au message : *** Analyse terminée le ..... *** 
•Le scan fini, le Bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse. 
•Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt 

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

crusti · Answer

Donc voila le rapport de Navilog (le lien que tu m'a donné ne marche pas):

Fix Navipromo version 4.0.8 commencé le 11/03/2010 14:00:51,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : Award Modular BIOS v6.00PG
USER : Yannick CAMBOU ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1368 [VPS 100311-0] 4.8.1368 (Activated)


C:\ (Local Disk) - NTFS - Total:127 Go (Free:19 Go)
D:\ (Local Disk) - NTFS - Total:337 Go (Free:32 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 11/03/2010 14:01:07,31 ***

truecode · Answer

La fenêtre de pub ressemble a quoi toujours la même ?

crusti · Answer

Non il y en a 2-3 différentes je n'en ai pas eu d'autre pour l'instant en meme temps elles arrivent toutes les 1-2H.En tous cas un gros merci ça m'a aidé a faire le ménage que je voulais faire et je ne savais pas trop comment m'y prendre.

truecode · Answer

Relance une analyse avec RSIT et poste les nouveaux rapports

crusti · Answer

Je viens d'avoir encore une au pub qui c'est ouverte (la meme que tout a l'heure).Voila le rapport de RSI mais j'ai eu que le fichier log.txt qui s'est ouvert: http://www.cijoint.fr/cjlink.php?file=cj201003/cijBexF66U.txt

truecode · Answer

On va désinstaller Boonty Games
•Lance hijackthis
•Choisis "Do a scan only" 
•Coche la case devant les lignes suivantes : 


O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe



•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
•Clique sur "Fix checked". 
•Ferme Hijackthis. 

 


Démarrer -> Exécuter -> tape services.msc, et supprime le service Service: Boonty Games - BOONTY 
clique sur la ligne 
fais arreter puis desactiver 

Va dans démarrer -> panneau de configuration -> ajout suppression programmes -> désinstalle Boonty Games 

ensuite supprime tous le dossier boonty si il est present dans 
C:\Program Files\Fichiers communs\BOONTY Shared 


Ensuite désinstalle ta version de avast qui est dépassé et installe avast 5 ( même si je lui préfère antivir qui est gratuit aussi )

crusti · Answer

Bon voila j'ai fais la manip avec hijackthis par contre je sais pas si c'est normal mais il m'a fais redémarrer le pc.Boonty étais déja désinstallé j'ai juste enlever eu à enlever le fichier dans C:\Program Files\Fichiers communs.Je vais peut être suivre ton conseil et installer antivir.

truecode · Answer

Ensuite installe spybot S&D , vaccine le système et lance une analyse voici un tuto : https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/

crusti · Answer

ok Voila,j'ai installé antivir et vacciner le système.
Tenace il en reste une qui continue toujours de s'ouvrir la même cette fois ci.

truecode · Answer

L'analyse a été faite ? les fenêtres de pubs sont toujours présentes ? tu as les fenêtres sur quelle navigateur ?

crusti · Answer

Oui il y en a toujours une qui vient de s'ouvrir.La même cette fois ci et un peu plus fréquemment.Je suis sur firefox.

truecode · Answer

Vois pour installer le module Adblock plus sur firefox https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
C'est des pubs toujours avec le même intitulé ?

truecode · Answer

•Lance hijackthis
•Choisis "Do a scan only" 
•Coche la case devant les lignes suivantes : 


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st


•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
•Clique sur "Fix checked". 
•Ferme Hijackthis. 

Et tu as mis O15 - Trusted Zone: *.chat-land.org dans les sites de confiances ?

crusti · Answer

J'ai déja adblock installé et je viens de faire la manip avec HijackThis.Chat land je n'y vais plus depuis longtemps ça m'avais causé un petit soucis rien de grave mais bon est ce que je dois refaire la manip "Do a scan only" et "fix checked" avec ?
Sinon oui c'est toujours la même pub avec le même intitulé (loi scellier pour une agence immobilière).

truecode · Answer

Cette pub va avec eorezo va dans démarrer -> panneau de configuration -> ajout / suppression de programmes -> voi si eorezo est toujours visibles si oui supprime le.

relance une analyse avec ad remover ensuite

crusti · Answer

eorezo à été bien supprimé.voila le rap.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:43:22, 11/03/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: YANNICK | Utilisateur actuel: Yannick CAMBOU
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
 Nom du profil: uhti7jzm.default (Yannick CAMBOU)
.
(YANNIC~1, prefs.js) Browser.download.lastDir, D:	of
(YANNIC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/webhp?hl=fr&source=hp&btnG=Recherche+Google
(YANNIC~1, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,searchrecs@veoh.com:1.5.1,{635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(YANNIC~1, prefs.js) Keyword.URL, hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
. 
. 
. 
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Enable Browser Extensions: yes
Search Bar: hxxp://www.google.com/ie
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Use Search Asst: no
SearchAssistant: 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.google.com
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Yannick CAMBOU\Bureau\cs4\Adobe Illustrator CS4 (Multilingue compreso Italiano) + CRACK.rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\Mes fichiers re‡us\TPPatchTwoEUROAMER20000324a.exe
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\fl 7\Fruity Loops 7 + Crack + Soundfonts.rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\fl studio 6.0.8\FL Studio 6.0.8 + Crack.aka Fruity loops+all plugins unlocked!(XXL Edition).rar
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\ISO Microsoft Windows XP Home Edition SP2 + Professional SP2 + Tablet PC 2005 [All ES] + Serial.zip
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\all_xp_keygen.zip
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\bonus _-)\keygen win xp\TheBlueList.nfo
C:\Documents and Settings\Yannick CAMBOU\Mes documents\programme\window xp\XRMPVOL_FR (E)\I386\faxpatch.exe
.
===================================
.
7463 Octet(s) - C:\Ad-Report-CLEAN[1].log 
3735 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
5 Fichier(s) - C:\DOCUME~1\YANNIC~1\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
102 Fichier(s) - C:\WINDOWS\Prefetch 
.
20 Fichier(s) - C:\Ad-Remover\BACKUP
28 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:44:30 | 11/03/2010 - SCAN[1]
.
============== E.O.F ==============
.
port de ad remover:

Désolé de te faire galérer un gros merci pour tes efforts et ton aide précieuse.

truecode · Answer

C'est bizarre d'habitude la fenêtre de pub disparait avec ad remover

 tu peux faire un nettoyage des fichiers temporaires avec ccleaner : https://www.malekal.com/tutoriel-ccleaner/

crusti · Answer

Ca y est j'ai nettoyé les fichiers temporaires.En même temps ça fait un petit moment que je n'ai plus eu la fenêtre de pub,je vais attendre un petit peu encore je pense et je te tiens au courant à moins que tu ne vois quelque chose dans les rapports que je t'envoie.

truecode · Answer

Oui tiens moi au courant c'est possible qu'il y a eu encore une trace et que ccleaner ayant fait un nettoyage des fichiers inutiles les supprimés.

crusti · Answer

Elle vient juste de revenir.Elle s'ouvre dans un nouvel onglet.Tenace celle la.

truecode · Answer

Oui tenace en plus je dois y aller je ne pourrais que me pencher sur le sujet demain 

a bientot

crusti · Answer

OK merci pour ton aide en tous cas on tu y a passé la journée vraiment un grand merci pour ta patiente.
Passe une bonne soirée.

Problème de pub,analyse hijackthis

31 réponses

Votre réponse

Discussions similaires

Newsletters