Virus:redirege clicks sur google vers sa pub
Résolu
simoon
-
Séb08 -
Séb08 -
j'ai sur mon pc un virus qui redirege les clicks sur les resultats de recheches sur les moteurs de recherches sur des sites pleins de liens sponsorisés (parking domains) + casino .... en p lus ma connexion devienne tres lente , il telecharge des logiciels discretement , je vois que la cosommation du debit adsl sans pouvoir l'arreter.
j'ai scaner mon pc par avast + ad aware mais sans reussir à s'en debarraser.
voila un scan par hijackthis :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32urpbiifn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmbwz.exe] C:\WINDOWS\system32\dmbwz.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O15 - Trusted Zone: *.p0rt2.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
merci d'avance de votre aide
j'ai scaner mon pc par avast + ad aware mais sans reussir à s'en debarraser.
voila un scan par hijackthis :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32urpbiifn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmbwz.exe] C:\WINDOWS\system32\dmbwz.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O15 - Trusted Zone: *.p0rt2.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
merci d'avance de votre aide
A voir également:
- Dmlgo virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
22 réponses
Bonsoir simoon,
effectivement, le pc est infecté!
Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur.
* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.
a+
effectivement, le pc est infecté!
Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur.
* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.
*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.
a+
voila le rapport de fixwareout :
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E98045DCBD32-8158-6994-1F97-CAC4CF1A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A7A58A2D1E5D-7D8B-84F4-94A6-4BC0744E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dxlmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...
Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmlxd.exe"=-
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2006-09-29
C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
Other suspects.
Directory of C:\WINDOWS\system32
{6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
{981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
{7D291843-E344-4964-A5A7-154A80E07114}.exe
{A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
et voila celui de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 23:06:23, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32kftcfsco.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\scandskx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O15 - Trusted Zone: *.p0rt2.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E98045DCBD32-8158-6994-1F97-CAC4CF1A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A7A58A2D1E5D-7D8B-84F4-94A6-4BC0744E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dxlmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...
Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmlxd.exe"=-
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2006-09-29
C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
Other suspects.
Directory of C:\WINDOWS\system32
{6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
{981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
{7D291843-E344-4964-A5A7-154A80E07114}.exe
{A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
et voila celui de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 23:06:23, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32kftcfsco.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\scandskx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O15 - Trusted Zone: *.p0rt2.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.107 85.255.112.182
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
bonjour simoon,
l'outil a bien bossé!
1) Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
2) Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau :
https://europe.f-secure.com/exclude/blacklight/index.shtml
Double-clique blbeta.exe et accepte la licence, clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse avec un nouveau rapport hijackthis!
a+
l'outil a bien bossé!
1) Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
2) Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau :
https://europe.f-secure.com/exclude/blacklight/index.shtml
Double-clique blbeta.exe et accepte la licence, clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse avec un nouveau rapport hijackthis!
a+
bonjour et encore merci did71 ,
voila le rapport de smithfraudfix
Rapport fait à 17:41:06,56, 20/10/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\.protected PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://images.solidcactus.com/usawall/picture.aspx?i=CARLINLIBCOL&w=200&h="
"SubscribedURL"="http://images.solidcactus.com/usawall/picture.aspx?i=CARLINLIBCOL&w=200&h="
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
et voila le 2eme :
10/20/06 18:02:05 [Info]: BlackLight Engine 1.0.47 initialized
10/20/06 18:02:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/20/06 18:02:06 [Note]: 7019 4
10/20/06 18:02:06 [Note]: 7005 0
10/20/06 18:02:12 [Note]: 7006 0
10/20/06 18:02:12 [Note]: 7011 1328
10/20/06 18:02:13 [Note]: 7026 0
10/20/06 18:02:13 [Note]: 7026 0
10/20/06 18:02:28 [Note]: FSRAW library version 1.7.1020
10/20/06 18:03:43 [Info]: Hidden file: c:\WINDOWS\system32\csjmy.exe
10/20/06 18:03:43 [Note]: 7002 32
10/20/06 18:03:43 [Note]: 7003 1
10/20/06 18:03:43 [Note]: 10002 1
10/20/06 18:03:43 [Info]: Hidden file: c:\WINDOWS\system32\dmeeo.exe
10/20/06 18:03:43 [Note]: 7002 32
10/20/06 18:03:43 [Note]: 7003 1
10/20/06 18:03:43 [Note]: 10002 1
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
et hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 18:08:54, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32huucemmb.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Administrateur\Bureau\blbeta.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
voila le rapport de smithfraudfix
Rapport fait à 17:41:06,56, 20/10/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\.protected PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://images.solidcactus.com/usawall/picture.aspx?i=CARLINLIBCOL&w=200&h="
"SubscribedURL"="http://images.solidcactus.com/usawall/picture.aspx?i=CARLINLIBCOL&w=200&h="
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
et voila le 2eme :
10/20/06 18:02:05 [Info]: BlackLight Engine 1.0.47 initialized
10/20/06 18:02:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/20/06 18:02:06 [Note]: 7019 4
10/20/06 18:02:06 [Note]: 7005 0
10/20/06 18:02:12 [Note]: 7006 0
10/20/06 18:02:12 [Note]: 7011 1328
10/20/06 18:02:13 [Note]: 7026 0
10/20/06 18:02:13 [Note]: 7026 0
10/20/06 18:02:28 [Note]: FSRAW library version 1.7.1020
10/20/06 18:03:43 [Info]: Hidden file: c:\WINDOWS\system32\csjmy.exe
10/20/06 18:03:43 [Note]: 7002 32
10/20/06 18:03:43 [Note]: 7003 1
10/20/06 18:03:43 [Note]: 10002 1
10/20/06 18:03:43 [Info]: Hidden file: c:\WINDOWS\system32\dmeeo.exe
10/20/06 18:03:43 [Note]: 7002 32
10/20/06 18:03:43 [Note]: 7003 1
10/20/06 18:03:43 [Note]: 10002 1
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
10/20/06 18:04:14 [Note]: 2000 1012
et hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 18:08:54, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32huucemmb.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Administrateur\Bureau\blbeta.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re,
joliement infecté le pc!
1) Redémarre en mode sans échec.
Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
Redémarres normalement
2)Télécharge Killbox sur ton Bureau :
http://www.downloads.subratam.org/KillBox.exe
Double-clique killbox.exe.
Choisis l'option "Delete on reboot".
Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :
c:\WINDOWS\system32\csjmy.exe
c:\WINDOWS\system32\dmeeo.exe
C:\WINDOWS\system32\vbsys2.dll
Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard
Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !
Clique sur le bouton : All Files (!important!)
Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".
3)poste le rapport smitfraudfix et un nouvel hijackthis!
a+
joliement infecté le pc!
1) Redémarre en mode sans échec.
Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
Redémarres normalement
2)Télécharge Killbox sur ton Bureau :
http://www.downloads.subratam.org/KillBox.exe
Double-clique killbox.exe.
Choisis l'option "Delete on reboot".
Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :
c:\WINDOWS\system32\csjmy.exe
c:\WINDOWS\system32\dmeeo.exe
C:\WINDOWS\system32\vbsys2.dll
Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard
Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !
Clique sur le bouton : All Files (!important!)
Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".
3)poste le rapport smitfraudfix et un nouvel hijackthis!
a+
slt did71
j'ai selecionner les 3 lignes mais juste la 3eme ligne qui apparaitre sur la boite, j'ai essayer en collant ligne par ligne sans succes.
voila le raport de smitfraudfix :
SmitFraudFix v2.112
Rapport fait à 19:57:15,58, 20/10/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
et celui de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:58:49, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\scandskx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32nldeohkt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
j'ai selecionner les 3 lignes mais juste la 3eme ligne qui apparaitre sur la boite, j'ai essayer en collant ligne par ligne sans succes.
voila le raport de smitfraudfix :
SmitFraudFix v2.112
Rapport fait à 19:57:15,58, 20/10/2006
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
et celui de hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:58:49, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\scandskx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32nldeohkt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - xxxcodec.com - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
re,
1. Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
2. Copie tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Files to delete:
c:\WINDOWS\system32\csjmy.exe
c:\WINDOWS\system32\dmeeo.exe
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous Script file to execute choisir Input Script Manually.
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre View/edit script
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer [Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds Yes deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport blacklight.
a+
1. Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
2. Copie tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Files to delete:
c:\WINDOWS\system32\csjmy.exe
c:\WINDOWS\system32\dmeeo.exe
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous Script file to execute choisir Input Script Manually.
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre View/edit script
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer [Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds Yes deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport blacklight.
a+
avenger.txt
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\malkieel
*******************
Script file located at: \??\C:\WINDOWS\system32\javxw^cx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File c:\WINDOWS\system32\csjmy.exe not found!
Deletion of file c:\WINDOWS\system32\csjmy.exe failed!
Could not process line:
c:\WINDOWS\system32\csjmy.exe
Status: 0xc0000034
File c:\WINDOWS\system32\dmeeo.exe not found!
Deletion of file c:\WINDOWS\system32\dmeeo.exe failed!
Could not process line:
c:\WINDOWS\system32\dmeeo.exe
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
et le rapport blacklight :
10/20/06 20:57:20 [Info]: BlackLight Engine 1.0.47 initialized
10/20/06 20:57:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/20/06 20:57:20 [Note]: 7019 4
10/20/06 20:57:20 [Note]: 7005 0
10/20/06 20:57:25 [Note]: 7006 0
10/20/06 20:57:25 [Note]: 7011 1300
10/20/06 20:57:25 [Note]: 7026 0
10/20/06 20:57:25 [Note]: 7026 0
10/20/06 20:57:34 [Note]: FSRAW library version 1.7.1020
10/20/06 20:58:48 [Info]: Hidden file: c:\WINDOWS\system32\csnqd.exe
10/20/06 20:58:48 [Note]: 7002 32
10/20/06 20:58:48 [Note]: 7003 1
10/20/06 20:58:48 [Note]: 10002 1
10/20/06 20:58:51 [Info]: Hidden file: c:\WINDOWS\system32\dmqez.exe
10/20/06 20:58:51 [Note]: 7002 32
10/20/06 20:58:51 [Note]: 7003 1
10/20/06 20:58:51 [Note]: 10002 1
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:37 [Note]: 7007 0
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\malkieel
*******************
Script file located at: \??\C:\WINDOWS\system32\javxw^cx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File c:\WINDOWS\system32\csjmy.exe not found!
Deletion of file c:\WINDOWS\system32\csjmy.exe failed!
Could not process line:
c:\WINDOWS\system32\csjmy.exe
Status: 0xc0000034
File c:\WINDOWS\system32\dmeeo.exe not found!
Deletion of file c:\WINDOWS\system32\dmeeo.exe failed!
Could not process line:
c:\WINDOWS\system32\dmeeo.exe
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
et le rapport blacklight :
10/20/06 20:57:20 [Info]: BlackLight Engine 1.0.47 initialized
10/20/06 20:57:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/20/06 20:57:20 [Note]: 7019 4
10/20/06 20:57:20 [Note]: 7005 0
10/20/06 20:57:25 [Note]: 7006 0
10/20/06 20:57:25 [Note]: 7011 1300
10/20/06 20:57:25 [Note]: 7026 0
10/20/06 20:57:25 [Note]: 7026 0
10/20/06 20:57:34 [Note]: FSRAW library version 1.7.1020
10/20/06 20:58:48 [Info]: Hidden file: c:\WINDOWS\system32\csnqd.exe
10/20/06 20:58:48 [Note]: 7002 32
10/20/06 20:58:48 [Note]: 7003 1
10/20/06 20:58:48 [Note]: 10002 1
10/20/06 20:58:51 [Info]: Hidden file: c:\WINDOWS\system32\dmqez.exe
10/20/06 20:58:51 [Note]: 7002 32
10/20/06 20:58:51 [Note]: 7003 1
10/20/06 20:58:51 [Note]: 10002 1
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:18 [Note]: 2000 1012
10/20/06 20:59:37 [Note]: 7007 0
re,
avant toutes manips, installes un parefeu!
je te remets un script avenger, déconnecte toi d'internet avant d'exécuter avenger!
1. Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
2. Copie tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Files to delete:
C:\WINDOWS\system32\scandskx.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\WINDOWS\system32\csnqd.exe
C:\WINDOWS\system32\dmqez.exe
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous Script file to execute choisir Input Script Manually.
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre View/edit script
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer [Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds Yes deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport blacklight.
a+
avant toutes manips, installes un parefeu!
je te remets un script avenger, déconnecte toi d'internet avant d'exécuter avenger!
1. Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
2. Copie tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Files to delete:
C:\WINDOWS\system32\scandskx.exe
C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe
C:\WINDOWS\system32\csnqd.exe
C:\WINDOWS\system32\dmqez.exe
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Sous Script file to execute choisir Input Script Manually.
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre View/edit script
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
Cliquer [Done
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
Réponds Yes deux fois quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau rapport blacklight.
a+
avenger.txt :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wwxmhwmr
*******************
Script file located at: \??\C:\Program Files\kueqvbdd.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\scandskx.exe deleted successfully.
File C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe deleted successfully.
File C:\WINDOWS\system32\csnqd.exe not found!
Deletion of file C:\WINDOWS\system32\csnqd.exe failed!
Could not process line:
C:\WINDOWS\system32\csnqd.exe
Status: 0xc0000034
File C:\WINDOWS\system32\dmqez.exe not found!
Deletion of file C:\WINDOWS\system32\dmqez.exe failed!
Could not process line:
C:\WINDOWS\system32\dmqez.exe
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
blacklight :
10/20/06 22:37:57 [Info]: BlackLight Engine 1.0.47 initialized
10/20/06 22:37:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/20/06 22:37:58 [Note]: 7019 4
10/20/06 22:37:58 [Note]: 7005 0
10/20/06 22:38:02 [Note]: 7006 0
10/20/06 22:38:02 [Note]: 7011 1888
10/20/06 22:38:02 [Note]: 7026 0
10/20/06 22:38:02 [Note]: 7026 0
10/20/06 22:38:11 [Note]: FSRAW library version 1.7.1020
10/20/06 22:39:37 [Info]: Hidden file: c:\WINDOWS\system32\dmhrv.exe
10/20/06 22:39:37 [Note]: 7002 32
10/20/06 22:39:37 [Note]: 7003 1
10/20/06 22:39:37 [Note]: 10002 1
10/20/06 22:39:39 [Info]: Hidden file: c:\WINDOWS\system32\cstex.exe
10/20/06 22:39:39 [Note]: 7002 32
10/20/06 22:39:39 [Note]: 7003 1
10/20/06 22:39:39 [Note]: 10002 1
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:44 [Note]: 7007 0
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wwxmhwmr
*******************
Script file located at: \??\C:\Program Files\kueqvbdd.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\scandskx.exe deleted successfully.
File C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe deleted successfully.
File C:\WINDOWS\system32\csnqd.exe not found!
Deletion of file C:\WINDOWS\system32\csnqd.exe failed!
Could not process line:
C:\WINDOWS\system32\csnqd.exe
Status: 0xc0000034
File C:\WINDOWS\system32\dmqez.exe not found!
Deletion of file C:\WINDOWS\system32\dmqez.exe failed!
Could not process line:
C:\WINDOWS\system32\dmqez.exe
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
blacklight :
10/20/06 22:37:57 [Info]: BlackLight Engine 1.0.47 initialized
10/20/06 22:37:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/20/06 22:37:58 [Note]: 7019 4
10/20/06 22:37:58 [Note]: 7005 0
10/20/06 22:38:02 [Note]: 7006 0
10/20/06 22:38:02 [Note]: 7011 1888
10/20/06 22:38:02 [Note]: 7026 0
10/20/06 22:38:02 [Note]: 7026 0
10/20/06 22:38:11 [Note]: FSRAW library version 1.7.1020
10/20/06 22:39:37 [Info]: Hidden file: c:\WINDOWS\system32\dmhrv.exe
10/20/06 22:39:37 [Note]: 7002 32
10/20/06 22:39:37 [Note]: 7003 1
10/20/06 22:39:37 [Note]: 10002 1
10/20/06 22:39:39 [Info]: Hidden file: c:\WINDOWS\system32\cstex.exe
10/20/06 22:39:39 [Note]: 7002 32
10/20/06 22:39:39 [Note]: 7003 1
10/20/06 22:39:39 [Note]: 10002 1
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:03 [Note]: 2000 1012
10/20/06 22:40:44 [Note]: 7007 0
Bonsoir simoon,
as tu installé un parefeu?
repasse blacklight et poste moi aussi un rapport hijackthis.
a+
as tu installé un parefeu?
repasse blacklight et poste moi aussi un rapport hijackthis.
a+
Salut Did71,
Coriace ce Wareout. Il te reste ces deux trucs :
--------------------------------
C:\WINDOWS\system32\itunesff.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
C'est un dialer :
https://www.bleepingcomputer.com/startups/itunesff.exe-14014.html
À fixer à la régulière.
---------------------------------
C:\WINDOWS\system32nldeohkt.exe
..qui est inconnu. Faudrait faire analyser chez VirusTotal. Si les AVs ne le reconnaissent pas, il s'agit probablement d'une nouvelle bestiole.
FixWareout sera votre meilleur ami, après le nettoyage des autres trucs.
======================
Les fichiers cs###.exe et dm###.exe sont des mutants de Wareout, et mutent à chaque démarrage.
simoon : prière de supprimer l'outil Avenger complètement. Il est extrêmement puissant et ne doit pas être utilisé par quiconque pourrait avoir accès à ta bécane.
Bonne continuation :-)
Coriace ce Wareout. Il te reste ces deux trucs :
--------------------------------
C:\WINDOWS\system32\itunesff.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
C'est un dialer :
https://www.bleepingcomputer.com/startups/itunesff.exe-14014.html
À fixer à la régulière.
---------------------------------
C:\WINDOWS\system32nldeohkt.exe
..qui est inconnu. Faudrait faire analyser chez VirusTotal. Si les AVs ne le reconnaissent pas, il s'agit probablement d'une nouvelle bestiole.
FixWareout sera votre meilleur ami, après le nettoyage des autres trucs.
======================
Les fichiers cs###.exe et dm###.exe sont des mutants de Wareout, et mutent à chaque démarrage.
simoon : prière de supprimer l'outil Avenger complètement. Il est extrêmement puissant et ne doit pas être utilisé par quiconque pourrait avoir accès à ta bécane.
Bonne continuation :-)
Bonjour à tous,
Il est probable que la bestiole aussi mute :
1er log : C:\WINDOWS\system32urpbiifn.exe
2ème : C:\WINDOWS\system32kftcfsco.exe
3ème : C:\WINDOWS\system32huucemmb.exe
4ème : C:\WINDOWS\system32nldeohkt.exe
Bonne suite.
Il est probable que la bestiole aussi mute :
1er log : C:\WINDOWS\system32urpbiifn.exe
2ème : C:\WINDOWS\system32kftcfsco.exe
3ème : C:\WINDOWS\system32huucemmb.exe
4ème : C:\WINDOWS\system32nldeohkt.exe
Bonne suite.
Salut à tous,
oui, la bête mute, on le voit aussi dans les différents rapports blacklight!!!
J'attends des nouvelles simoon.
a+
oui, la bête mute, on le voit aussi dans les différents rapports blacklight!!!
J'attends des nouvelles simoon.
a+
bonjour tout le monde,
desole pour le retard, j'ai pas passe le week end chez moi .
j'ai installe un parefeu .
voila le rapport hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:09:43, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
blacklight :
10/23/06 17:06:36 [Info]: BlackLight Engine 1.0.47 initialized
10/23/06 17:06:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/23/06 17:06:37 [Note]: 7019 4
10/23/06 17:06:37 [Note]: 7005 0
10/23/06 17:06:41 [Note]: 7006 0
10/23/06 17:06:41 [Note]: 7011 1336
10/23/06 17:06:41 [Note]: 7026 0
10/23/06 17:06:41 [Note]: 7026 0
10/23/06 17:06:51 [Note]: FSRAW library version 1.7.1020
10/23/06 17:08:10 [Info]: Hidden file: c:\WINDOWS\system32\csgws.exe
10/23/06 17:08:10 [Note]: 7002 32
10/23/06 17:08:10 [Note]: 7003 1
10/23/06 17:08:10 [Note]: 10002 1
10/23/06 17:08:12 [Info]: Hidden file: c:\WINDOWS\system32\dmvse.exe
10/23/06 17:08:12 [Note]: 7002 32
10/23/06 17:08:12 [Note]: 7003 1
10/23/06 17:08:12 [Note]: 10002 1
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:53 [Note]: 7007 0
merci
desole pour le retard, j'ai pas passe le week end chez moi .
j'ai installe un parefeu .
voila le rapport hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:09:43, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\itunesff.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
blacklight :
10/23/06 17:06:36 [Info]: BlackLight Engine 1.0.47 initialized
10/23/06 17:06:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/23/06 17:06:37 [Note]: 7019 4
10/23/06 17:06:37 [Note]: 7005 0
10/23/06 17:06:41 [Note]: 7006 0
10/23/06 17:06:41 [Note]: 7011 1336
10/23/06 17:06:41 [Note]: 7026 0
10/23/06 17:06:41 [Note]: 7026 0
10/23/06 17:06:51 [Note]: FSRAW library version 1.7.1020
10/23/06 17:08:10 [Info]: Hidden file: c:\WINDOWS\system32\csgws.exe
10/23/06 17:08:10 [Note]: 7002 32
10/23/06 17:08:10 [Note]: 7003 1
10/23/06 17:08:10 [Note]: 10002 1
10/23/06 17:08:12 [Info]: Hidden file: c:\WINDOWS\system32\dmvse.exe
10/23/06 17:08:12 [Note]: 7002 32
10/23/06 17:08:12 [Note]: 7003 1
10/23/06 17:08:12 [Note]: 10002 1
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:40 [Note]: 2000 1012
10/23/06 17:08:53 [Note]: 7007 0
merci
Bonsoir,
1) termine le processus (ctrl+alt+suppr) :
C:\WINDOWS\system32\itunesff.exe
2) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
3) recherche et supprime les fichiers en gras ci dessous:
C:\WINDOWS\system32\scandskx.exe
C:\WINDOWS\system32\itunesff.exe
4) si tu as toujours fixwareout, relance l'outil (sinon retélécharge le)
5) copie les rapports hijackthis et fixwareout
a+
1) termine le processus (ctrl+alt+suppr) :
C:\WINDOWS\system32\itunesff.exe
2) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O4 - HKLM\..\Run: [scandskx.exe] C:\WINDOWS\system32\scandskx.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c48 -w
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
3) recherche et supprime les fichiers en gras ci dessous:
C:\WINDOWS\system32\scandskx.exe
C:\WINDOWS\system32\itunesff.exe
4) si tu as toujours fixwareout, relance l'outil (sinon retélécharge le)
5) copie les rapports hijackthis et fixwareout
a+
voila le rapport de fixwareout :
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5BE89682108D-227B-EDA4-6412-E8B99944{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}038EB5D6EF0E-363B-64D4-59B9-039AF776{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\esvmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...
Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmvse.exe"=-
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSGWS.EXE 51 768 2006-10-20
C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2006-09-29
C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
C:\WINDOWS\SYSTEM32\DMVSE.EXE 60 990 2005-07-05
Other suspects.
Directory of C:\WINDOWS\system32
{6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
{981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
{7D291843-E344-4964-A5A7-154A80E07114}.exe
{A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
et hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:50:38, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5BE89682108D-227B-EDA4-6412-E8B99944{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}038EB5D6EF0E-363B-64D4-59B9-039AF776{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\esvmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...
Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmvse.exe"=-
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSGWS.EXE 51 768 2006-10-20
C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2006-09-29
C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
C:\WINDOWS\SYSTEM32\DMVSE.EXE 60 990 2005-07-05
Other suspects.
Directory of C:\WINDOWS\system32
{6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
{981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
{7D291843-E344-4964-A5A7-154A80E07114}.exe
{A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.
et hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 19:50:38, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
Bonsoir,
désolé du retard,
relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
poste un nouveau rapport blacklight
a+
désolé du retard,
relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O17 - HKLM\System\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
poste un nouveau rapport blacklight
a+
salut did71 ,
voila le rapport de blacklight :
10/26/06 19:47:19 [Info]: BlackLight Engine 1.0.47 initialized
10/26/06 19:47:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/26/06 19:47:19 [Note]: 7019 4
10/26/06 19:47:19 [Note]: 7005 0
10/26/06 19:47:22 [Note]: 7006 0
10/26/06 19:47:22 [Note]: 7011 1796
10/26/06 19:47:22 [Note]: 7026 0
10/26/06 19:47:22 [Note]: 7026 0
10/26/06 19:47:31 [Note]: FSRAW library version 1.7.1020
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:52:39 [Note]: 7007 0
voila le rapport de blacklight :
10/26/06 19:47:19 [Info]: BlackLight Engine 1.0.47 initialized
10/26/06 19:47:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/26/06 19:47:19 [Note]: 7019 4
10/26/06 19:47:19 [Note]: 7005 0
10/26/06 19:47:22 [Note]: 7006 0
10/26/06 19:47:22 [Note]: 7011 1796
10/26/06 19:47:22 [Note]: 7026 0
10/26/06 19:47:22 [Note]: 7026 0
10/26/06 19:47:31 [Note]: FSRAW library version 1.7.1020
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:49:12 [Note]: 2000 1012
10/26/06 19:52:39 [Note]: 7007 0
