Je suis infectée!!! Aidez-moi svp.
Vickie
-
Vickie -
Vickie -
Bonjour tout le monde,
J'utilise Windows Xp et j'ai quelque probleme avec mon Internet explorer. J'ai plein de publicité qui souvre tout le temps. ca ralenti mon ordi et meme ca le bug... je ne sais plus quoi faire et je suis pas très bonne pour réparer les affaire. Est-ce quelqu'un pourrait m'expliquer quoi faire étape par étape... sinon mon chum va mettre lordi au poubelle....merci beaucoup à tout le monde
Vickie
J'utilise Windows Xp et j'ai quelque probleme avec mon Internet explorer. J'ai plein de publicité qui souvre tout le temps. ca ralenti mon ordi et meme ca le bug... je ne sais plus quoi faire et je suis pas très bonne pour réparer les affaire. Est-ce quelqu'un pourrait m'expliquer quoi faire étape par étape... sinon mon chum va mettre lordi au poubelle....merci beaucoup à tout le monde
Vickie
43 réponses
- 1
- 2
- 3
Suivant
Résumé de la discussion
Publicités persistantes dans Internet Explorer sur Windows XP ralentissent l’ordinateur et provoquent des plantages, poussant l’utilisateur à chercher une aide étape par étape pour résoudre le problème.
Plusieurs interventions techniques sont évoquées, notamment l’analyse des fichiers et des clés de registre suspectes via HijackThis et SmitFraudFix, et la suppression d’éléments de démarrage ou de modules malveillants.
D'autres recommandations mentionnent l'emploi de combofix, des rapports de nettoyage, et la nécessité de débusquer des composants tels que des barres d'outils ou des plug-ins indésirables pour stabiliser le système.
Par ailleurs, des mentions signalent des rapports de rootkit et le besoin de scans spécialisés, ainsi que la prudence quant à la suppression de fichiers système sensibles.
-
Voici mon logfile quand je fais hijack
Logfile of HijackThis v1.99.1
Scan saved at 18:17:29, on 2006-11-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Sm9uYXRoYW4\command.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PRINTV~1\pvmodule.exe
C:\windows\system32\qldptge.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe
C:\dfndrff_e47.exe
C:\nwnmff_e47.exe
C:\Program Files\Fichiers communs\{B416BBC8-063A-3084-0620-020824000002}\Update.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\DOCUME~1\Vickie\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\fcffv.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,pwljgeu.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [sqe1fa60] RUNDLL32.EXE w53b9847.dll,n 0061fa5a0000000a53b9847
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~1\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [uwa6pcw] "C:\Program Files\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\Run: [qldptge] c:\windows\system32\qldptge.exe qldptge
O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe"
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [windows] C:\\windows_e56.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e47.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e47.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e47.exe
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\pwinooem.exe SED001
O4 - HKLM\..\Run: [njrsvw] C:\WINDOWS\system32\osnbvy.exe reg_run
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MétéoIMédia] C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\pwinooem.exe
O4 - Global Startup: Assistant Internet.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\system32\dmonwv.dll (file missing)
O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS\system32\dmonwv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\j0j60a1sed.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Sm9uYXRoYW4\command.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
merci a tous -
bonsoir vickie,
joli rapport!
1) Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.
* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
2) Télécharge ce fichier - combofix.exe :
http://download.bleepingcomputer.com/sUBs/combofix.exe
et sauvegarde le sur ton bureau!
lance le!
Ne touche a rien et attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HijackThis avec.
a+ -
Bonjour Vickie
Bonjour did71; SVP, si je peux me permettre/
Il y a absence de 02 et de 20 ( Vundo ??)
Pour Vickie:
Imprime cette page
1°- Télécharge CCLEANER:
www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fic...
2°- Télécharge : ATF-Cleaner
www.atribune.org/ccount/click.php?id=1
3°- Télécharge AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
Tutorial :- < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.
4°- Télécharge HijackThis version française ici :
< http://pchelpbordeaux.free.fr/logiciels.html >
Tu cliques là où montre la flèche :
< http://img166.imageshack.us/img166/1248/screenshot133rp9.gif >
< http://img84.imageshack.us/img84/4088/screenshot134tm5.gif >
La mise en place de HijackThis (dans le dossier "\Program Files\Hijackthis Version Française\) est automatique.
Un dossier "Hijackthis Version Française" sera créé dans le menu démarrer.
Une icône peut être créée sur le bureau si l'on coche la case.
Le site fournit également un tutoriel très bien fait :
<http://pchelpbordeaux.free.fr/tuto.html >
5°- Tu fermes Internet Explorer, tu te déconnectes complètement du NET (jusqu'à enlever la prise de téléphone du modem, ou la prise du cable USB ou Ethernet).
6°- Démarre ATF-Cleaner :
-double clic sur l’icône
- Puis sur « Exécuter » ;
- Sous l'onglet Main, tu coches toutes les cases en cochant « Unselect All » ;
- puis clic sur le bouton « Empty selected »
- et au message "Done Cleaning" sur Ok> Exit.
7°- Lance CCLEANER et nettoie ton PC avec :Utilisation :
-Dans l'onglet "Nettoyeur" cliquer sur "Analyse". Une fois l'analyse terminée, cliquer sur "Lancer le Nettoyage". ( 2 X )
-Dans l'onglet "Erreurs" cliquer sur "Chercher des erreurs" puis, avant de cliquer sur "Réparer les erreurs sélectionnées" effectuer une sauvegarde de votre registre (comme proposé).
Recommencer jusqu’à qu’il n’y aie plus d’erreur détectée.
8°- AVG Anti-Spyware
Pour l'installer, tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.0.47.exe".
Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »
Pour lancer AVG anti spyware tu doubles click sur la nounelle icône qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état" , tu choisis "inactif" pour le "bouclier résident" ( clic sur « Modifier l’état » ).
Sur la page "mise à jour" ,
-tu coches les cases au § « mise à jour automatique »
-- et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Sur la page "Analyse" :
- Tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
-- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
- Tu choisis ensuite l'onglet "analyser", "analyse complète du système".
A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous ...".
Tu suis les instructions dans la fenêtre qui s'ouvre.
PS Pour les autres fois, pour lancer AVG, tu double-clic sur la deuxième icône bureau créée.
9°- Redémarre le PC
10°-Ensuite, tu ouvres le rapport AVG avec le bloc-notes pour le copier/coller avec ta réponse.
11°- Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
< http://www.atribune.org/ccount/click.php?id=4 >
Double-clique VundoFix.exe afin de le lancer.
( Coche Run VundoFix as a task.)
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt
11°- Tu lances Hijackthis
ATTENTION: seulement la nouvelle version française.
Scanner et sauver un rapport que tu postes sur le forum
Merci -
Vikie
Pour ton "ancien" HijackThis; supprime-le comme ceci:
[Démarrer] > "Tous les Programmes" > et dans la liste regarde s'il y a en face de HijackThis ( attention: pas celle en face de HJT version française ) une ligne " désinstaller ( ou Uninstall ) HJT ".
Si oui, tu cliques dessus pour désinstaller.
Si tu ne trouve pas , demande. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Bonjour,
Oui, il y a vundo, j'avais vu, lol! et alcan,EGDACCESS,Command service....
Combofix aurait fait du travail dans ce rapport!!
Il s'attaque aussi a vundo par ailleurs!
je n'ai pas voulu poster tous les log nécessaires à la désinfection mais avancer au fur et à mesure!
a+ -
Salut did71
« je n'ai pas voulu poster tous les log nécessaires à la désinfection mais avancer au fur et à mesure! »
Merci pour ta courtoisie;
D'abord, le temps que je compile ma méthode de pré-nettoyage avant d'utiliser les utilitaires, et j'ai constaté que tu avais déjà conseillé.
Ensuite, comme je tenais à suivre ce topic dont le log HJT est absent de 02 et 020, j'ai insisté en faisant déjà remplacer son HJT par la version française ( plutôt que d'avoir à le faire renommer ultérieurement ).
Pour terminer, tu as remarqué que j'ai exclu Vundo du pré-nettoyage; cela, pensant bien que tu interviendrais entretemps pour imposer un ordre de passage SmitfraudFix, Vundo, BlackLight et ComboFix par exemple.
Merci de me permettre de suivre ce topic à distance.
Il n'y a aucune arrière pensée là dedans.
Nous nous sommes croisés lors de notre implication.
Je m'étonne surtout que nous soyons les seuls à enchanger nos points de vue à ce sujet; particulièrement en l'absence de l'intéressé.
à+.. -
re,
c'est vrai que la personne intéressée ne donne pas signe de vie pour l'instant.
Tu as tout à fait le droit de suivre ce topic et je n'y vois aucun inconvénient!
Il est vrai que ce forum n'est le forum où je suis le plus actif (déjà assez à faire ailleurs) mais j'interviens de temps en temps et je n'ai pas l'habitude de désinfecter à plusieurs helpers.
a+ -
« je n'ai pas l'habitude de désinfecter à plusieurs helpers. »
OK; message reçu.
;) -
re,
j'ai dit que je n'avais pas l'habitude mais je n'ai pas dit que je t'empêchais de le faire (on peut changer ses habitudes en fonction des forums).
Surtout que ce sujet sera très intéressant, si la personne revient, au vu des infections!
Si je commet une erreur ou si je zappe une infection, tu pourras tout à fait poster, pas de problème.
Ne prends pas mal ce que je dis.
a+ -
« Ne prends pas mal ce que je dis. »
Non,non; aucun problème de ce côté.
J'avais bien annoncé « Il n'y a aucune arrière pensée là dedans.»
En tout cas, les règles sont établies; je m'y tiendrai.
J'espère simplement avoir l'occasion de le prouver.
Pourvu que l'internaute le veuille.
;) -
Bonjour did71 et afideg,
merci de vos conseils...
je ne sais plus trop qui suivre...alors je vais commencer par faire ce que le premier qui ma répondu a dit...et je vais voir ce qui arrive... si ca ne fonctionne pas, on va aller avec la méthose du deuxième. Je vais commencer à essayer de la réparer.
je me crois les doigts. -
Voici mon rapport
SmitFraudFix v2.122
Rapport fait à 18:49:00,35, 2006-11-16
Executé à partir de C:\Documents and Settings\Vickie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
C:\uniq PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\keyboard1.dat PRESENT !
C:\WINDOWS\newname.dat PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vickie
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vickie\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Vickie\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\Program Files\\MSN\\kyzeqeni.html"
"SubscribedURL"=""
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="C:\\Program Files\\Fichiers communs\\howy.html"
"SubscribedURL"=""
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="dxclib303562752.dll"
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
pe386 détecté, utilisez un scanner de Rootkit
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
je passe ensuite à l'étape 2 -
Voici le rapport de combofix
Vickie - 06-11-16 18:55:12,42 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\Vickie\Bureau"
((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
REGISTRY ENTRIES REMOVED:
[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}]
@=""
[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{DAE7DC96-DD0E-463E-BD07-12F62E9FFA22}\InprocServer32]
@="C:\\WINDOWS\\system32\\iWsacct.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}]
@=""
[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{749623ED-8161-47F1-A518-7DE7EBD95E36}\InprocServer32]
@="C:\\WINDOWS\\system32\\mxisip.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}]
@=""
[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{DBC7794B-1FCB-4446-8B56-83891E974F5D}\InprocServer32]
@="C:\\WINDOWS\\system32\\sumpsnap.dll"
"ThreadingModel"="Apartment"
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
FILES REMOVED:
C:\WINDOWS\system32\cjtdll.dll
C:\WINDOWS\system32\enn4l15q1.dll
C:\WINDOWS\system32\kt2ol7f31.dll
C:\WINDOWS\system32\mrobjs.dll
C:\WINDOWS\system32\mucpx32r.dLL
C:\WINDOWS\system32\mwjet40.dll
C:\WINDOWS\system32\o066lajs1do6.dll
C:\WINDOWS\system32\sumpsnap.dll
C:\WINDOWS\system32\wphip6.dll
Granting sedebugprivilege to Administrateurs ... successful
((((((((((((((((((((((((((((((((((((((((((((( Qoologic's Log )))))))))))))))))))))))))))))))))))))))))))))))))))
* * * PRE-RUN - Filepaths extracted from the Registry * * * * * * * * * * * * * * * * * * * * * *
O4 - HKCU\...\Run C:\WINDOWS\system32\osnbvy.exe
O4 - HKLM\...\Run C:\WINDOWS\system32\osnbvy.exe
F2 -REG:system.ini: Shell C:\WINDOWS\system32\fcffv.exe
F2 -REG:system.ini: UserInit C:\WINDOWS\system32\pwljgeu.exe
* * * PRE-RUN - Filepaths extracted by Memory Dump * * * * * * * * * * * * * * * * * * * * * *
C:\WINDOWS\system32\osnbvy.exe
C:\WINDOWS\system32\uanbnhg.dll
C:\WINDOWS\system32\pwljgeu.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\haacc.exe
C:\WINDOWS\nnuim.dll
C:\WINDOWS\system32\tpdeh.dat
C:\WINDOWS\system32\fcffv.exe
* * * POST-RUN - Files in the Quarantine folder * * * * * * * * * * * * * * * * * * * * * * * * *
06-11-13 18:10 127488 tpdeh.dat.qoo
06-11-13 18:10 127488 osnbvy.exe.qoo
06-11-14 17:52 51712 uanbnhg.dll.qoo
06-11-14 17:41 28672 fcffv.exe.qoo
06-11-13 19:16 23552 pwljgeu.exe.qoo
06-11-16 18:19 290 nnuim.dll.qoo
06-11-13 18:10 53 ncbvnw.dat.qoo
DO NOT DELETE ANY FILES FROM THIS DIRECTORY UNLESS INSTRUCTED TO
((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\dxclib303562752.dll
C:\Documents and Settings\Jonathan\Application Data\Dxcknwrd.dll
C:\Documents and Settings\Jonathan\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\Vickie\Application Data\Dxcdmns.dll
C:\Documents and Settings\Vickie\Application Data\Dxcknwrd.dll
C:\Documents and Settings\Vickie\Application Data\Dxcuknwrd.dll
C:\WINDOWS\system32\bkd.exe
C:\Program Files\DeluxeCommunications\Dxc.exe
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
C:\WINDOWS\system32\dxclib303562752.dll
C:\Program Files\DeluxeCommunications\Dxc.exe
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\keyboard1.dat
C:\dfndrff_e56.exe
C:\dfndrff_e57.exe
C:\deskbar.exe
C:\deskbar_e47.exe
C:\deskbar_e55.exe
C:\kybrdff_e47.exe
C:\kybrdff_e56.exe
C:\kybrdff_e57.exe
C:\kybrdff_e58.exe
C:\MTE3NDI6ODoxNg12112006.exe
C:\MTE3NDI6ODoxNgnew.exe
C:\nwnmff_e47.exe
C:\nwnmff_e55.exe
C:\nwnmff_e56.exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\GTQBK9EB\dfndrff_e_uit[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\18GFH1SD\drsmartload44a[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\18GFH1SD\deskbar_e[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\SLIZS5AN\kybrdff_e[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\XG8JXTGH\MTE3NDI6ODoxNg[1].exe
C:\Documents and Settings\Vickie\Local Settings\Temporary Internet Files\Content.IE5\EVAPIPWF\nwnmff_e[1].exe
C:\ac3_0010.exe
C:\RDFX4.exe
C:\WINDOWS\wallpap.exe
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\dwdsregt.exe
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Installer5.exe
C:\Program Files\MSN\kyzeqeni.html
C:\Program Files\Fichiers communs\howy.html
C:\dollarrev.exe
C:\windows.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\Documents and Settings\LocalService\Application Data\NetMon
C:\Program Files\Deskbar
C:\Program Files\outlook
C:\Program Files\PrintView
C:\Program Files\Fichiers communs\{B416BBC8-063A-3084-0620-020824000002}
C:\Program Files\network monitor
C:\WINDOWS\Sm9uYXRoYW4
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\QooBox\Purity\Documents and Settings\Vickie\Application Data\SSEMBL~1
C:\QooBox\Purity\Documents and Settings\Vickie\Application Data\SSTEM3~1
((((((((((((((((((((((((((((((( Files Created from 2006-10-16 to 2006-11-16 ))))))))))))))))))))))))))))))))))
2006-11-16 18:49 3,652 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-16 18:48 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-11-16 18:48 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-16 18:48 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-11-16 18:48 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-11-14 17:34 45,080 --a------ C:\WINDOWS\system32\nndsregs.exe
2006-11-13 18:14 17,920 --a------ C:\WINDOWS\system32\ntio256.sys
2006-11-13 18:14 1,465 --a------ C:\dacmi.exe
2006-11-13 18:14 1,024 --a------ C:\gwxelccp.exe
2006-11-13 18:13 80 --a------ C:\a.bat
2006-11-13 18:13 5,376 --a------ C:\WINDOWS\hide_evr2.sys
2006-11-13 18:13 5,146 --a------ C:\rttdkor.exe
2006-11-13 18:13 19,236 --a------ C:\WINDOWS\9129837.exe
2006-11-13 18:13 19,236 --a------ C:\oysb.exe
2006-11-13 18:13 1,024 --a------ C:\rapqy.exe
2006-11-13 18:11 978 --a------ C:\WINDOWS\system32\winpfg32.sys
2006-11-13 18:11 74,240 --a------ C:\degoqatr.exe
2006-11-13 18:11 172,133 --a------ C:\WINDOWS\system32\pwinooem.exe
2006-11-13 18:09 438,272 --a------ C:\windows_e56.exe
2006-11-13 18:09 32,768 --a------ C:\mc44a56.exe
2006-11-12 21:03 32,768 --a------ C:\mc44a55.exe
2006-11-12 21:03 19,456 --a------ C:\DXC9.exe
2006-11-12 12:18 425,984 --a------ C:\windows_e55.exe
2006-11-12 12:18 106,496 --a------ C:\WINDOWS\system32\DomainHelper.dll
2006-11-03 19:57 96,768 --------- C:\WINDOWS\system32\dxclib303562752.dll
2006-10-30 17:26 237,056 --a------ C:\WINDOWS\system32\qldptge.exe
2006-10-29 11:20 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2006-10-25 15:04 16,384 --a------ C:\mc44a37.exe
2006-10-22 10:48 2 --a------ C:\WINDOWS\system32\wnscpsv.exe
2006-10-21 12:43 20,480 --a------ C:\mc44a34.exe
2006-10-20 17:38 20,480 --a------ C:\mc44a3.exe
2006-10-20 17:37 62,976 --a------ C:\WINDOWS\system32\sqe1fa60.dll
2006-10-20 17:37 192 --a------ C:\WINDOWS\system32\ggg.bat
2006-10-20 17:37 16,384 --a------ C:\WINDOWS\system32\dr.exe
2006-10-20 17:37 115,947 --a------ C:\WINDOWS\system32\install.exe
2006-10-20 17:37 1,335 --a------ C:\WINDOWS\system32\sqe1fa60.sys
2006-10-20 17:36 20,480 --a------ C:\WINDOWS\system32\setup9X.exe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]
2006-11-16 19:02 -------- d-------- C:\Program Files\MSN
2006-11-16 19:02 -------- d-------- C:\Program Files\Fichiers communs
2006-11-13 18:52 -------- d-------- C:\Program Files\mIRC
2006-11-12 21:03 -------- d-------- C:\Program Files\Online Services
2006-11-03 19:57 -------- d-------- C:\Program Files\DeluxeCommunications
2006-11-03 15:31 -------- d-------- C:\Documents and Settings\Vickie\Application Data\Bell
2006-11-02 22:16 -------- d-------- C:\Program Files\Bell
2006-10-29 11:21 -------- d-------- C:\Program Files\Common Files
2006-10-25 15:47 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-10-21 12:41 -------- d-------- C:\Program Files\WallMaster
2006-09-13 00:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-09 16:47 284 --a--c--- C:\Documents and Settings\Vickie\Application Data\ViewerApp.dat
2006-08-25 10:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 07:26 16896 --a--c--- C:\WINDOWS\system32\fltlib.dll
2006-08-21 04:14 23040 --a--c--- C:\WINDOWS\system32\fltmc.exe
2006-08-19 18:06 0 --a------ C:\WINDOWS\b.exe
2006-08-16 06:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Fichiers communs\\Ahead\\lib\\NMBgMonitor.exe\""
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"MétéoIMédia"="C:\\Program Files\\MétéoMédia\\MétéoIMédia\\WeatherEye"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"StandardInstall"=""
"NWEReboot"=""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Motive SmartBridge"="C:\\PROGRA~1\\NETASS~1\\SMARTB~1\\MotiveSB.exe"
"Matrox Powerdesk"="C:\\WINDOWS\\system32\\PDesk\\PDesk.exe /Autolaunch"
"HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"sqe1fa60"="RUNDLL32.EXE w53b9847.dll,n 0061fa5a0000000a53b9847"
"uwa6pcw"="\"C:\\Program Files\\WinAntiVirus Pro 2006\\uwa6pcw.exe\" -c"
"qldptge"="c:\\windows\\system32\\qldptge.exe qldptge"
"SSA.exe"="\"C:\\Program Files\\Bell\\Sympatico Security Advisor\\SSA.exe\""
"windows"="C:\\\\windows_e56.exe"
"{6B-BB-BC-C8-ZN}"="C:\\windows\\system32\\nndsregs.exe SED001"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Program Files\\MSN\\kyzeqeni.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Program Files\\Fichiers communs\\howy.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,36,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-11-16 19:07:03.48
C:\ComboFix.txt ... 06-11-16 19:07
et voici le rapport de High jack
Logfile of HijackThis v1.99.1
Scan saved at 19:29:27, on 2006-11-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\PDesk\PDesk.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe
C:\windows_e56.exe
C:\windows\system32\nndsregs.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe
C:\Program Files\NetAssistant\bin\mpbtn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Vickie\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.fr.msn.ca/0SEFRCA/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NETASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sqe1fa60] RUNDLL32.EXE w53b9847.dll,n 0061fa5a0000000a53b9847
O4 - HKLM\..\Run: [uwa6pcw] "C:\Program Files\WinAntiVirus Pro 2006\uwa6pcw.exe" -c
O4 - HKLM\..\Run: [qldptge] c:\windows\system32\qldptge.exe qldptge
O4 - HKLM\..\Run: [SSA.exe] "C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe"
O4 - HKLM\..\Run: [windows] C:\\windows_e56.exe
O4 - HKLM\..\Run: [{6B-BB-BC-C8-ZN}] C:\windows\system32\nndsregs.exe SED001
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\pwinooem.exe SED001
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MétéoIMédia] C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - Startup: Think-Adz.lnk = C:\WINDOWS\system32\pwinooem.exe
O4 - Global Startup: Assistant Internet.lnk = C:\Program Files\NetAssistant\bin\matcli.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
que dois-je faire ensuite??? -
Bonjour,
Combo a bien bossé!
Et smitfraudfix nous montre pe386, on s'occupera de tout dans la soirée!
a+ -
re,
On attaque, prends ton temps, lit bien tout ce qui est écrit! Imprime ces instruction car certains etapes se passeront en mode sans échec donc sans internet!
ETAPE 1
* Redémarre en mode sans échec.
* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.
* Redémarres normalement
Communiques le deuxième rapport de SmitfraudFix
ETAPE 2
1) Désinstalle via ajout suppression de programme :
DeluxeCommunications
WinAntiVirus Pro 2006
2) Supprime ensuite les dossiers en gras ci dessous:
C:\Program Files\DeluxeCommunications
C:\Program Files\WinAntiVirus Pro 2006
ETAPE 3
Télécharge ce fichier (par ejvindh) sur ton bureau:
http://www.uploads.ejvindh.net/rustbfix.exe
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
ETAPE 4
1)Télécharge Brute Force Uninstaller (de Merijn):
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
2)FAIS UN CLIC-DROIT ICI:
http://metallica.geekstogo.com/alcanshorty.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu(de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : BFU.exeet alcanshorty.bfu (très important).
3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe(du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
alcanshorty.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur Execute et laisse-le faire son travail. C'est très rapide comme exécution.
ETAPE 5
Ouvre le Bloc-note et copie-colle les lignes en gras ci-dessous :
RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\qldptge
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|qldptge
FileDelete %SYSDIR%\qldptge_navps.dat
FileDelete %SYSDIR%\qldptge_nav.dat
FileDelete %SYSDIR%\qldptge.dat
FileDelete %SYSDIR%\qldptge.exe
SystemEmptyTempFolder
SystemEmptyRecycleBin
FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0
Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).
Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
Fixme.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
Redémarre normalement.
Poste le rapport situé ici
C:\egd.txt
ETAPE 6
poste les différents rapport demandés
Courage, ne panique pas et reste concentré, Ne te précipite pas!
a+ -
-
Bonjour,
voici mon rapport smitfraud :
SmitFraudFix v2.122
Rapport fait à 14:57:17,50, 2006-11-17
Executé à partir de C:\Documents and Settings\Vickie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\uniq supprimé
C:\WINDOWS\newname.dat supprimé
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
je continue.... -
rebonjour,
je suis désolé mais je nai pas réussi a supprimer Win antivirus pro 2006 par suppression de programme car il netait pas dans la liste
de plus, je nai pas pu supprimer les dossier par l'explorateur...
qu'est-ce que je fais avec ca? -
Vickie,
tu continues la procédure, on dégrossira à la fin!
Pas de problème pour ceci.
Courage!
a+ -
re,
j'ai oublié pour la suite,
Rendre visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
a+
- 1
- 2
- 3
Suivant
