A voir également:
- [Virus] Programme inconnu
- Appel inconnu - Guide
- Programme demarrage windows 10 - Guide
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
4 réponses
Utilisateur anonyme
4 sept. 2006 à 18:47
4 sept. 2006 à 18:47
Salut,
Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"
Un rapport, va se créer sur ton bureau "fslb-....."
Copies et colles le contenu de ce rapport ici stp
Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"
Un rapport, va se créer sur ton bureau "fslb-....."
Copies et colles le contenu de ce rapport ici stp
Le voici :
09/04/06 18:50:07 [Info]: BlackLight Engine 1.0.46 initialized
09/04/06 18:50:07 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/04/06 18:50:07 [Note]: 7019 4
09/04/06 18:50:07 [Note]: 7005 0
09/04/06 18:50:15 [Note]: 7006 0
09/04/06 18:50:15 [Note]: 7011 1172
09/04/06 18:50:15 [Note]: 7026 0
09/04/06 18:50:15 [Note]: 7026 0
09/04/06 18:50:15 [Note]: 7024 3
09/04/06 18:50:15 [Info]: Hidden process: C:\winnt\system32\vzcbkl.exe
09/04/06 18:50:15 [Note]: FSRAW library version 1.7.1019
09/04/06 18:53:07 [Info]: Hidden file: c:\WINNT\system32\vzcbkl.dat
09/04/06 18:53:07 [Note]: 10002 1
09/04/06 18:53:08 [Info]: Hidden file: C:\winnt\system32\vzcbkl.exe
09/04/06 18:53:08 [Note]: 10002 1
09/04/06 18:53:09 [Info]: Hidden file: c:\WINNT\system32\vzcbkl_nav.dat
09/04/06 18:53:09 [Note]: 10002 1
09/04/06 18:53:10 [Info]: Hidden file: c:\WINNT\system32\vzcbkl_navps.dat
09/04/06 18:53:10 [Note]: 10002 1
09/04/06 18:50:07 [Info]: BlackLight Engine 1.0.46 initialized
09/04/06 18:50:07 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/04/06 18:50:07 [Note]: 7019 4
09/04/06 18:50:07 [Note]: 7005 0
09/04/06 18:50:15 [Note]: 7006 0
09/04/06 18:50:15 [Note]: 7011 1172
09/04/06 18:50:15 [Note]: 7026 0
09/04/06 18:50:15 [Note]: 7026 0
09/04/06 18:50:15 [Note]: 7024 3
09/04/06 18:50:15 [Info]: Hidden process: C:\winnt\system32\vzcbkl.exe
09/04/06 18:50:15 [Note]: FSRAW library version 1.7.1019
09/04/06 18:53:07 [Info]: Hidden file: c:\WINNT\system32\vzcbkl.dat
09/04/06 18:53:07 [Note]: 10002 1
09/04/06 18:53:08 [Info]: Hidden file: C:\winnt\system32\vzcbkl.exe
09/04/06 18:53:08 [Note]: 10002 1
09/04/06 18:53:09 [Info]: Hidden file: c:\WINNT\system32\vzcbkl_nav.dat
09/04/06 18:53:09 [Note]: 10002 1
09/04/06 18:53:10 [Info]: Hidden file: c:\WINNT\system32\vzcbkl_navps.dat
09/04/06 18:53:10 [Note]: 10002 1
bon, ça confirme bien la bête est là!
fait ceci:
Pour afficher tous les dossiers et fichiers cachés;
Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"
"
Coche:
¤ afficher les fichiers et dossiers cachés
Clic sur "appliquer" puis "ok"
---
Ensuite
Télécharge BruteForce Uninstaller ici:
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier sur le bureau par exemple, nomme le CCM, dezippe le fichier telechargé à l'interieur
Ensuite, télécharge EGDACCESS :
Fais un clic droit ici:
http://metallica.geekstogo.com/EGDACCESS.bfu et choisis
Enregistre le sur le bureau, puis mets le dans le dossier CCM que tu as créer, tu aura donc les deux fichiers BFU.exe et EGDACCESS.bfu à l'interieur de ce dossier CCM
----------
Lance "BruteForce Uninstaller" en cliquant sur BFU.exe
Clic sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
Coches la case "Show lo"g after script ends
Clique sur Execute pour que le fix fasse son boulot
Attends que le message Complete script execution apparaîsse et clique sur OK.
Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le.
Clique Exit pour fermer le programme BFU.
Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.
------------------
Après le reboot du pc, les fichiers :
C:\winnt\system32\vzcbkl.exe
c:\WINNT\system32\vzcbkl.dat
C:\winnt\system32\vzcbkl.exe
c:\WINNT\system32\vzcbkl_nav.dat
c:\WINNT\system32\vzcbkl_navps.dat
devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
Va dans C:\WINNT\system32\ et recherches et effaces:
C:\winnt\system32\vzcbkl.exe.ren
c:\WINNT\system32\vzcbkl.dat.ren
C:\winnt\system32\vzcbkl.exe.ren
c:\WINNT\system32\vzcbkl_nav.dat.ren
c:\WINNT\system32\vzcbkl_navps.dat.ren
Une fois fait, poste le rapport de BFU que tu auras sauvegardé et un nouveau rapport de blacklight.
fait ceci:
Pour afficher tous les dossiers et fichiers cachés;
Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"
"
Coche:
¤ afficher les fichiers et dossiers cachés
Clic sur "appliquer" puis "ok"
---
Ensuite
Télécharge BruteForce Uninstaller ici:
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier sur le bureau par exemple, nomme le CCM, dezippe le fichier telechargé à l'interieur
Ensuite, télécharge EGDACCESS :
Fais un clic droit ici:
http://metallica.geekstogo.com/EGDACCESS.bfu et choisis
Enregistre le sur le bureau, puis mets le dans le dossier CCM que tu as créer, tu aura donc les deux fichiers BFU.exe et EGDACCESS.bfu à l'interieur de ce dossier CCM
----------
Lance "BruteForce Uninstaller" en cliquant sur BFU.exe
Clic sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
Coches la case "Show lo"g after script ends
Clique sur Execute pour que le fix fasse son boulot
Attends que le message Complete script execution apparaîsse et clique sur OK.
Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le.
Clique Exit pour fermer le programme BFU.
Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
Clique sur Scan pour lancer l'analyse.
Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
Puis valide.
Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.
------------------
Après le reboot du pc, les fichiers :
C:\winnt\system32\vzcbkl.exe
c:\WINNT\system32\vzcbkl.dat
C:\winnt\system32\vzcbkl.exe
c:\WINNT\system32\vzcbkl_nav.dat
c:\WINNT\system32\vzcbkl_navps.dat
devraient être visible et pouvoir être supprimés sans aucuns soucis.
Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
Va dans C:\WINNT\system32\ et recherches et effaces:
C:\winnt\system32\vzcbkl.exe.ren
c:\WINNT\system32\vzcbkl.dat.ren
C:\winnt\system32\vzcbkl.exe.ren
c:\WINNT\system32\vzcbkl_nav.dat.ren
c:\WINNT\system32\vzcbkl_navps.dat.ren
Une fois fait, poste le rapport de BFU que tu auras sauvegardé et un nouveau rapport de blacklight.
J'ai pu supprimer ces trois fichiers :
c:\WINNT\system32\vzcbkl.dat.ren
c:\WINNT\system32\vzcbkl_nav.dat.ren
c:\WINNT\system32\vzcbkl_navps.dat.ren
Je n'ai pas retrouvé celui-ci :
c:\WINNT\system32\vzcbkl.exe.ren
Le rapport de BFU sauvegardé :
BFU v1.00.9
Windows 2000 SP4 (WinNT 5.00.2195 SP4)
Script started at 21:01:52, on 04/09/2006
Option Delete files to Recycle Bin: Yes
Failed: RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|MC (key not found)
Failed: DllUnregister C:\WINNT\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: FolderDelete C:\Program Files\InternetGameBox (folder not found)
Failed: DllUnregister C:\WINNT\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINNT\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINNT\mslagent (folder not found)
Failed: FolderDelete C:\WINNT\navmpc (folder not found)
Failed: FolderDelete C:\WINNT\msskinner (folder not found)
Failed: FolderDelete C:\WINNT\wintrim (folder not found)
Failed: FolderDelete C:\WINNT\wincomp (folder not found)
Failed: FolderDelete C:\WINNT\winmgts (folder not found)
Failed: FolderDelete C:\WINNT\simcss (folder not found)
Failed: FolderDelete C:\WINNT\mc (folder not found)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fla167.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF9FB1.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFDE57.tmp (operation failed)
Failed: FileDelete C:\WINNT\Temp\ZLT04910.TMP (operation failed)
Failed: FileDelete C:\WINNT\Temp\ZLT0491a.TMP (operation failed)
Script completed.
Le nouveau rapport de blacklight :
09/04/06 21:36:08 [Info]: BlackLight Engine 1.0.46 initialized
09/04/06 21:36:08 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/04/06 21:36:08 [Note]: 7019 4
09/04/06 21:36:08 [Note]: 7005 0
09/04/06 21:36:11 [Note]: 7006 0
09/04/06 21:36:11 [Note]: 7011 1036
09/04/06 21:36:11 [Note]: 7026 0
09/04/06 21:36:11 [Note]: 7026 0
09/04/06 21:36:16 [Note]: FSRAW library version 1.7.1019
09/04/06 21:41:48 [Note]: 7007 0
c:\WINNT\system32\vzcbkl.dat.ren
c:\WINNT\system32\vzcbkl_nav.dat.ren
c:\WINNT\system32\vzcbkl_navps.dat.ren
Je n'ai pas retrouvé celui-ci :
c:\WINNT\system32\vzcbkl.exe.ren
Le rapport de BFU sauvegardé :
BFU v1.00.9
Windows 2000 SP4 (WinNT 5.00.2195 SP4)
Script started at 21:01:52, on 04/09/2006
Option Delete files to Recycle Bin: Yes
Failed: RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|MC (key not found)
Failed: DllUnregister C:\WINNT\system32\MSWBM32.DLL|1 (file not found)
Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
Failed: FolderDelete C:\Program Files\dialpass (folder not found)
Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
Failed: FolderDelete C:\Program Files\egroup (folder not found)
Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
Failed: FolderDelete C:\Program Files\InternetGameBox (folder not found)
Failed: DllUnregister C:\WINNT\mslagent\2_mslagent.dll|1 (file not found)
Failed: DllUnregister C:\WINNT\navmpc\2_navmpc.dll|1 (file not found)
Failed: FolderDelete C:\WINNT\mslagent (folder not found)
Failed: FolderDelete C:\WINNT\navmpc (folder not found)
Failed: FolderDelete C:\WINNT\msskinner (folder not found)
Failed: FolderDelete C:\WINNT\wintrim (folder not found)
Failed: FolderDelete C:\WINNT\wincomp (folder not found)
Failed: FolderDelete C:\WINNT\winmgts (folder not found)
Failed: FolderDelete C:\WINNT\simcss (folder not found)
Failed: FolderDelete C:\WINNT\mc (folder not found)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fla167.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF9FB1.tmp (operation failed)
Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFDE57.tmp (operation failed)
Failed: FileDelete C:\WINNT\Temp\ZLT04910.TMP (operation failed)
Failed: FileDelete C:\WINNT\Temp\ZLT0491a.TMP (operation failed)
Script completed.
Le nouveau rapport de blacklight :
09/04/06 21:36:08 [Info]: BlackLight Engine 1.0.46 initialized
09/04/06 21:36:08 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/04/06 21:36:08 [Note]: 7019 4
09/04/06 21:36:08 [Note]: 7005 0
09/04/06 21:36:11 [Note]: 7006 0
09/04/06 21:36:11 [Note]: 7011 1036
09/04/06 21:36:11 [Note]: 7026 0
09/04/06 21:36:11 [Note]: 7026 0
09/04/06 21:36:16 [Note]: FSRAW library version 1.7.1019
09/04/06 21:41:48 [Note]: 7007 0
oki, c'est mieux mais à mon avis tu es encore infecté!
Télécharge HijackThis:
Téléchargement de HijackThis
Installe le dans son propre dossier:
-clic droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
Lance le, clic sur "do a system scan and save logfile"
Puis copie et colle le rapport ici stp
Télécharge HijackThis:
Téléchargement de HijackThis
Installe le dans son propre dossier:
-clic droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
Lance le, clic sur "do a system scan and save logfile"
Puis copie et colle le rapport ici stp
Merci pour ton aide, voici le log apparemment il y est encore :
Logfile of HijackThis v1.99.1
Scan saved at 23:57:45, on 04/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\sstray.exe
C:\Program Files\Creative\Mouse Optical\mouse_2k.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\FSGUI\ispnews.exe
C:\WINNT\system32\internat.exe
C:\Program Files\photo\Vidalia\vidalia.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\photo\Privoxy\privoxy.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\CCM\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CreativeMouse ] C:\Program Files\Creative\Mouse Optical\mouse_2k.exe
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Program Files\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [vzcbkl] c:\winnt\system32\vzcbkl.exe vzcbkl
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\photo\Vidalia\vidalia.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: F-Secure 2006.lnk = C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\photo\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Outil de démonstration Google AdSense - http://pagead2.googlesyndication.com/pagead/preview/fr/preview.html
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Logfile of HijackThis v1.99.1
Scan saved at 23:57:45, on 04/09/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\sstray.exe
C:\Program Files\Creative\Mouse Optical\mouse_2k.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\F-Secure Internet Security\FSGUI\ispnews.exe
C:\WINNT\system32\internat.exe
C:\Program Files\photo\Vidalia\vidalia.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Program Files\photo\Privoxy\privoxy.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Program Files\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\CCM\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CreativeMouse ] C:\Program Files\Creative\Mouse Optical\mouse_2k.exe
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Program Files\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [vzcbkl] c:\winnt\system32\vzcbkl.exe vzcbkl
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\photo\Vidalia\vidalia.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: F-Secure 2006.lnk = C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\photo\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Outil de démonstration Google AdSense - http://pagead2.googlesyndication.com/pagead/preview/fr/preview.html
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [vzcbkl] c:\winnt\system32\vzcbkl.exe vzcbkl
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\photo\Vidalia\vidalia.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
Telecharges Killbox:
https://www.generation-nt.com/killbox-telechargement-25430.html
Doubles clique sur killbox.exe (Pocket Killbox)
- coches: delete on reboot
dans la barre vide entre ceci: (exactement)
c:\winnt\system32\vzcbkl.exe
- cliques sur la croix rouge
- une fenetre va apparaitre pour confirmation cliques sur YES
- une seconde fenetre te demande si tu veux redemarrer cliques sur YES
Laisses le pc redemarrer ps'il ne redemarre pas fait le de toi meme
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici avec un nouveau rapport hijackthis stp
https://www.bitdefender.com/toolbox/
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [vzcbkl] c:\winnt\system32\vzcbkl.exe vzcbkl
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\photo\Vidalia\vidalia.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
Telecharges Killbox:
https://www.generation-nt.com/killbox-telechargement-25430.html
Doubles clique sur killbox.exe (Pocket Killbox)
- coches: delete on reboot
dans la barre vide entre ceci: (exactement)
c:\winnt\system32\vzcbkl.exe
- cliques sur la croix rouge
- une fenetre va apparaitre pour confirmation cliques sur YES
- une seconde fenetre te demande si tu veux redemarrer cliques sur YES
Laisses le pc redemarrer ps'il ne redemarre pas fait le de toi meme
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici avec un nouveau rapport hijackthis stp
https://www.bitdefender.com/toolbox/
