[Critical System Errors]

Résolu
fredo -  
 roche.chris -
Salut,

J'ai chopé un virus...
Dans la barre d'outil est venu se coller : Critical System Errors et aussi une sorte de mine... des bulles me demandent de telecharger rapidement des antispy et me disent que mon system est en alert avec comme infection Trojan-Spy.Win32@mx...

Quand je vais sur le net... ma page home est troquée par des sites vendant des logitiels antivirus, spy etc...
Je tombe régulièrement sur www.virusbursters.com

J'ai lancé mon antivirus, ad-aware, spybot mais rien n'y fait !!
Je ne trouve plus Scan dick dans Outils Système...

Comment faire SVP MERCI !!!!

24 réponses

  • 1
  • 2
Résumé de la discussion

Une infection informatique génère des alertes critiques, des pages d’achat d’antivirus et un Trojan-Spy.Win32@mx, détournant la page d’accueil et bloquant certains outils système et sécurité.
Plusieurs réponses proposent des outils et méthodes manuels, tels que Brute Force Uninstaller (BFU), EGDACCESS.bfu, Blacklight, HijackThis et Silent Runners, ainsi que des étapes de nettoyage incluant des rapports et redémarrages en mode sans échec.
Des extraits montrent aussi des rapports HijackThis détaillant les chemins et les entrées de démarrage, et certains messages évoquent des tentatives de suppression manuelle de fichiers et de répertoires suspects.
En cas de suites possibles, plusieurs participants suggèrent de relancer l’analyse après nettoyage et de partager les rapports pour vérification, sans conclure sur l’état final ni l’efficacité d’une solution unique.
Certaines réponses notent la complexité du nettoyage et l’importance d’un suivi, car des composants résiduels peuvent persister même après une série d’outils, nécessitant une vérification croisée des rapports.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    Télécharge ceci: (merci a S!RI pour ce programme).
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.
    ----------------------------------------------------------------------------
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    A+
    0
    1. fredo
       
      mon antivirus m'alerte en me disant script malveillant ! j'autorise quand même ?
      0
    2. fredo
       
      j'ai quand même autoriser le script malveillant de Smitfraudfic.cmd mais aucun rapport n'est apparu !!

      je fais quoi maintenant ?
      :o(
      0
  2. fredo
     
    mon antivirus m'alerte en me disant script valveillant ! j'autorise quand même ?
    0
  3. Utilisateur anonyme
     
    Salut,

    oui, rien de grave c'est un processus qui est détecté comme virus par certains anti-virus
    0
  4. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    On peut avoir le rapport?

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fredo
     
    le telechargement par http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    ne marche pas... je n'obtients aucun rapport de commande winNT...

    j'ai lancé Ewido sous les conseils de boulepate62...
    j'ai effacer tout les spaware qu'il a trouvé et voici le rapport :

    ewido anti-spyware - Scan Report
    ---------------------------------------------------------

    + Created at: 20:50:23 28/11/2006

    + Scan result:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On -> Adware.Generic : Cleaned.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 -> Adware.Generic : Cleaned.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 -> Adware.IntCodec : Cleaned.
    HKU\S-1-5-21-1123561945-854245398-1957994488-1003\Software\Internet Security -> Adware.IntCodec : Cleaned.
    C:\Program Files\Virus-Bursters -> Adware.VirusBursters : Cleaned.
    C:\Program Files\Virus-Bursters\Virus-Bursters.exe -> Adware.VirusBursters : Cleaned.
    C:\Program Files\Virus-Bursters\ignored.lst -> Adware.VirusBursters : Cleaned.
    C:\Program Files\Virus-Bursters\virusburster.ini -> Adware.VirusBursters : Cleaned.
    C:\Documents and Settings\Fred\Local Settings\Temp\ICD2.tmp\IaLdr32.exe -> Dialer.InstantAccess.af : Cleaned.
    C:\WINDOWS\system32\mwsrvacc.exe -> Dialer.InstantAccess.af : Cleaned.
    C:\WINDOWS\system32\svcia32.dll -> Downloader.Wintrim.da : Cleaned.
    C:\Documents and Settings\Fred\Cookies\fred@247realmedia[2].txt -> TrackingCookie.247realmedia : Cleaned.
    C:\Documents and Settings\Fred\Cookies\fred@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Cleaned.
    C:\Documents and Settings\Fred\Cookies\fred@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.
    C:\Documents and Settings\Fred\Cookies\fred@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

    ::Report end

    Je fais quoi maintenant ? car toujours Critical Systme Errors...
    Merci
    0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Telecharge ceci(clik droit < enregistrer sous)
    https://www.silentrunners.org/Silent%20Runners.vbs
    Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera
    0
    1. fredo
       
      voilà le rapport de silentrunners

      "Silent Runners.vbs", revision 49, https://www.silentrunners.org/
      Operating System: Windows XP
      Output limited to non-default values, except where indicated by "{++}"


      Startup items buried in registry:
      ---------------------------------

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
      "MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
      "MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [file not found]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
      "isamonitor.exe" = "C:\Program Files\Gold Codec\isamonitor.exe" [null data]
      "pmsngr.exe" = "C:\Program Files\Gold Codec\pmsngr.exe" [null data]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "EPSON Stylus DX4800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"" ["SEIKO EPSON CORPORATION"]
      "ccApp" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
      "ccRegVfy" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"" ["Symantec Corporation"]
      "GhostStartTrayApp" = "D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe" ["Symantec Corporation"]
      "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
      "SSC_UserPrompt" = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"]
      "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
      "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
      "LVCOMS" = "C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" ["Logitech Inc."]
      "LogitechGalleryRepair" = "C:\Program Files\Logitech\ImageStudio\ISStart.exe" ["Logitech Inc."]
      "LogitechImageStudioTray" = "C:\Program Files\Logitech\ImageStudio\LogiTray.exe" ["Logitech Inc."]
      "NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
      "(Default)" = (unknown data type)

      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
      {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
      \InProcServer32\(Default) = "D:\ADOBE READER\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
      {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = "D:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
      {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
      0
  8. Utilisateur anonyme
     
    J'ai rien conseillé lol ..j'laisse le post à celui qui l'a prit en main ;-)
    0
  9. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok super !

    Tu as une nouvelle infection intéressante sur ton ordinateur.

    Contrôle des données :

    Peux-tu afficher tous les fichiers sur ton ordinateur ? Vérifie ton paramétrage :

    dans Windows Explorer :
    >Outils > Options des dossiers > onglet "Affichage" > Fichiers et dossiers cachés > activer "Afficher les fichiers et dossiers cachés" > décocher Masquer les extensions des fichiers dont le type est connu > décocher "Masquer les fichiers du système d'exploitation (recommandé)[/b] > Appliquer > Appliquer à tous les dossiers et confirmer par OK > OK pour quitter

    S'il te plaît, télécharge ces fichiers

    C:\Program Files\Gold Codec\isamonitor.exe
    C:\Program Files\Gold Codec\pmsngr.exe

    1. -> S!Ri -remontée des fichiers (*). http://siri.urz.free.fr/upload/
    2. -> SimplyTech-Adware-Upload (*) http://www.simplytech.it/public/upload/

    (*) Si tu as besoin d'un programme gratuit pour zipper avant d'uploader : SIMPLYZIP.
    Les données qu'on ne peut pas uploader doivent alors être zippées.

    Reviens nous dire si l'upload vers les 2 URL a bien fonctionné.
    0
    1. fredo
       
      je comprends rien !!!!!

      et en plus très dur de travailler sur mon PC en ce moment c prise te tête et énervement assuré avec toutes ces bulles ces fenêtres qui s'ouvrent...

      je crois que je vais reformater mon DD...
      0
    2. fredo
       
      1ere partie OK (je n'ai rien eu besoin de faire car c'était déjà dans cette configuration là !)

      je télécharge où les fichiers ????
      C:\Program Files\Gold Codec\isamonitor.exe
      C:\Program Files\Gold Codec\pmsngr.exe
      0
    3. fredo
       
      ok... désolé mais je suis une brèle en info !! je crois que ça c vu non ?
      ;-)))

      je viens de voir ces programmes dans windows explorer mais comment les télécharger ? LOL en double cliquant dessus : rien ! ni même en les ouvrant (clik droit)...

      et oui je sais... je suis nul !!!

      ;-)))))))))))))
      0
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Formates pas pour ca !

    Clik ici:
    http://siri.urz.free.fr/upload/

    Le lien du forum: critical system errors#2006 11 28%2022%3A19%3A54

    Pour le fichier, cherche ceci:
    C:\Program Files\Gold Codec\isamonitor.exe
    C:\Program Files\Gold Codec\pmsngr.exe

    Clik sur uploaded !

    Apres va dans ajout suppression de programme et dis moi si tu as Gold Codec?

    A+

    0
    1. fredo
       
      ok j'ai fait ce que tu m'as dit... mais ils me disent que le fichier existait déjà... (après avoir upload)

      je suis allé voir dans ajout/suppr de prog et OUI j'ai Gold Codec

      a+ pour la suite ?

      ;o)
      0
  11. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Tu as fait ceci?

    Clik ici:
    http://siri.urz.free.fr/upload/

    Le lien du forum: critical system errors#2006 11 28%2022%3A19%3A54

    Pour le fichier, cherche ceci:
    C:\Program Files\Gold Codec\isamonitor.exe
    C:\Program Files\Gold Codec\pmsngr.exe

    Clik sur uploaded !

    Apres va dans ajout suppression de programme et dis moi si tu as Gold Codec?

    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Ok desinstalles ceci:Gold Codec

    Supprime ceci: C:\Program Files\Gold Codec

    Ca devrait etre mieux deja.

    Je te donne RDV demain, je vais au lit car j ai eu une dure journée, j ai terminé a 20h30...Bonne nuit ;-)

    PS: Si vraiment tu as besoin, quelqu un prendra la suite...

    0
    1. fredo
       
      j'ai désintallé Gold Codec
      mais je n'arrive pas à supprimer C:\Program Files\Gold Codec
      ils me disent que c'est utilisé par une autre personne ou par une application en cours qui nécessite ces fichiers...

      ???????? !!!!!!!!

      A demain régis59 !!!

      ;-))))))))))
      0
    2. fredo
       
      Ca y est ! j'ai désinstallé Gold Codec et en me mettant en mode sans échec j'ai supp C:\Program Files\Gold Codec ...

      Mais j'ai toujours Critical System Errors...

      Tu as passé une bonne nuit regis59 ? car le boulet est de retour !!!
      ;-))
      0
  13. Utilisateur anonyme
     
    Fait ça pour le supprimer

    Redémarres le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le mode sans échec)
    Puis tu pourra aller le supprimer
    0
    1. fredo
       
      merci pour le tuyau ! tu vois que tu me donnes des conseils !
      ;-)

      c ok !
      0
  14. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut Fredo,

    Oui pas mal merci mais une mauvais journée :-S

    Desinstalles ceci egalement: mailskinner

    Ensuite,

    1- Remet un nouveau silent runner

    2- Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
    https://www.f-secure.com/en
    https://www.f-secure.com/en

    et sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse

    3- Un hijack this également.

    a+
    0
    1. fredo
       
      Salut Régis59 !

      Merci de m'aider malgré ta journée galère... Je reconnais bien là mon régis ! ;o))))))))

      J'ai désintallé mailskinner

      J'ai refait un silent runner :
      rapport =
      "Silent Runners.vbs", revision 49, https://www.silentrunners.org/
      Operating System: Windows XP
      Output limited to non-default values, except where indicated by "{++}"


      Startup items buried in registry:
      ---------------------------------

      HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
      "MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
      "MailSkinner" = "c:\program files\mailskinner\mailskinner.exe" [file not found]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
      "isamonitor.exe" = "C:\Program Files\Gold Codec\isamonitor.exe" [file not found]
      "pmsngr.exe" = "C:\Program Files\Gold Codec\pmsngr.exe" [file not found]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
      "EPSON Stylus DX4800 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"" ["SEIKO EPSON CORPORATION"]
      "ccApp" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
      "ccRegVfy" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"" ["Symantec Corporation"]
      "GhostStartTrayApp" = "D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe" ["Symantec Corporation"]
      "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
      "SSC_UserPrompt" = "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"]
      "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
      "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
      "LVCOMS" = "C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" ["Logitech Inc."]
      "LogitechGalleryRepair" = "C:\Program Files\Logitech\ImageStudio\ISStart.exe" ["Logitech Inc."]
      "LogitechImageStudioTray" = "C:\Program Files\Logitech\ImageStudio\LogiTray.exe" ["Logitech Inc."]
      "NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]
      "(Default)" = (unknown data type)

      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
      {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
      \InProcServer32\(Default) = "D:\ADOBE READER\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
      {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = "D:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
      {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "Windows Live Sign-in Helper"
      \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
      {9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "ST"
      \InProcServer32\(Default) = "C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll" [MS]
      {ae18da4e-be15-4925-81bb-890c04af0200}\(Default) = (no title provided)
      -> {HKLM...CLSID} = (no title provided)
      \InProcServer32\(Default) = "C:\Program Files\Gold Codec\isaddon.dll" [file not found]
      {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "MSNToolBandBHO"
      \InProcServer32\(Default) = "C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll" [MS]
      {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
      -> {HKLM...CLSID} = "CNavExtBho Class"
      \InProcServer32\(Default) = "D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
      {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = (no title provided)
      -> {HKLM...CLSID} = "EpsonToolBandKicker Class"
      \InProcServer32\(Default) = "C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

      HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
      "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
      -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
      \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

      J'ai téléchargé blacklight et c'est en train de scanner mais très lent...

      Je te tiens au courant pour la fin du scan....

      A+
      0
    2. fredo
       
      finalement c allé plus vite que ce que je pensais...
      voilà le rapport via fsecure blacklight =

      11/29/06 19:53:34 [Info]: BlackLight Engine 1.0.47 initialized
      11/29/06 19:53:34 [Info]: OS: 5.1 build 2600 ()
      11/29/06 19:53:38 [Note]: 7019 4
      11/29/06 19:53:38 [Note]: 7005 0
      11/29/06 19:54:31 [Note]: 7006 0
      11/29/06 19:54:33 [Note]: 7011 1280
      11/29/06 19:54:36 [Note]: 7026 0
      11/29/06 19:54:37 [Note]: 7026 0
      11/29/06 19:54:38 [Note]: 7024 3
      11/29/06 19:54:38 [Info]: Hidden process: C:\windows\system32\sijlupgvmc.exe
      11/29/06 19:54:38 [Note]: FSRAW library version 1.7.1020
      11/29/06 20:08:30 [Info]: Hidden file: c:\WINDOWS\system32\sijlupgvmc.dat
      11/29/06 20:08:30 [Note]: 10002 1
      11/29/06 20:08:31 [Info]: Hidden file: C:\windows\system32\sijlupgvmc.exe
      11/29/06 20:08:31 [Note]: 10002 1
      11/29/06 20:08:36 [Info]: Hidden file: c:\WINDOWS\system32\sijlupgvmc_nav.dat
      11/29/06 20:08:36 [Note]: 10002 1
      11/29/06 20:08:38 [Info]: Hidden file: c:\WINDOWS\system32\sijlupgvmc_navps.dat
      11/29/06 20:08:38 [Note]: 10002 1
      11/29/06 20:09:13 [Info]: Hidden file: c:\WINDOWS\Prefetch\SIJLUPGVMC.EXE-2D438A79.pf
      11/29/06 20:09:14 [Note]: 10002 1
      11/29/06 20:10:41 [Note]: 7007 0


      Je lance un hijackthis et j'attends tes instructions Maetro !

      A+
      0
    3. fredo
       
      et voilà le rapport hijackthis =
      Logfile of HijackThis v1.99.1
      Scan saved at 20:18:40, on 29/11/2006
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      D:\WinZipnovembre2006\WZQKPICK.EXE
      C:\Program Files\Logitech\ImageStudio\LowLight.exe
      C:\Edwido\ewido anti-spyware 4.0\guard.exe
      D:\NORTON~1\NORTON~2\GHOSTS~2.EXE
      D:\NORTON SYSTEMWORKS\Norton AntiVirus\navapsvc.exe
      D:\NORTON SYSTEMWORKS\Norton Utilities\NPROTECT.EXE
      D:\NORTON~1\SPEEDD~1\nopdb.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Edwido\ewido anti-spyware 4.0\ewido.exe
      C:\WINDOWS\System32\WScript.exe
      C:\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE READER\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Program Files\Gold Codec\isaddon.dll (file missing)
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Program Files\Gold Codec\iesplugin.dll (file missing)
      O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [GhostStartTrayApp] D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
      O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\ADOBE READER\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = D:\OFFICE XP PRO\Office10\OSA.EXE
      O4 - Global Startup: WinZip Quick Pick.lnk = D:\WinZipnovembre2006\WZQKPICK.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
      O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
      O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
      O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\System32\xxfgmy.dll (file missing)
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Edwido\ewido anti-spyware 4.0\guard.exe
      O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~1\NORTON~2\GHOSTS~2.EXE
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\NORTON SYSTEMWORKS\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\NORTON SYSTEMWORKS\Norton Utilities\NPROTECT.EXE
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~1\SPEEDD~1\nopdb.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

      Bonne apetito !

      A+
      0
  15. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut ;

    Télécharge Brute Force Uninstaller (de Merijn) ici:
    http://www.merijn.org/files/bfu.zip
    Créé un nouveau dossier directement à la racine de ton disque dur ou l'endroit qui te convient, nomme ce dossier BFU.
    Décompresse le fichier téléchargé dans ce nouveau dossier (par exemple C:\BFU)

    Ensuite, télécharge EGDACCESS.bfu (de Metallica) :

    Fais un clik droit ici : http://metallica.geekstogo.com/EGDACCESS.bfu et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    Si tu utilises Internet Explorer, assure-toi lors de la sauvegarde que le champs "Type :" affiche "Tous les fichiers".
    Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    Et Ccleaner:
    https://www.malekal.com/tutoriel-ccleaner/

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Lance "Brute Force Uninstaller" en double-cliquant BFU.exe (Dans le dossier C:\BFU)
    - Clique sur le petit dossier jaune, et clique sur : EGDACCESS.bfu
    - Coches la case Show log after script ends
    - Clique sur Execute pour que le fix fasse son boulot :-)

    Attends que le message Complete script execution apparaîsse et clique sur OK.
    Un rapport va s'afficher dans la fenetre du programme, copie et colle dans le bloc-notes, puis sauvegardes le, tu le posteras plus tard sur le forum.
    Clique Exit pour fermer le programme BFU.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Ensuite, lance Blacklight en double cliquant sur blbeta.exe et accepte la licence.
    Clique sur Scan pour lancer l'analyse.
    Une fois fait, selectionnes chaques fichiers trouvés et clic sur "RENAME"
    Puis valide.
    Réponds oui aux messages d'avertissements et te demandant si tu autorises le reboot du pc.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Après le reboot du pc, les fichiers :

    C:\windows\system32\sijlupgvmc.exe
    c:\WINDOWS\system32\sijlupgvmc.dat
    C:\windows\system32\sijlupgvmc.exe
    c:\WINDOWS\system32\sijlupgvmc_nav.dat
    c:\WINDOWS\system32\sijlupgvmc_navps.dat

    devraient être visible et pouvoir être supprimés sans aucuns soucis.
    Blacklight ne les supprimes pas, il les renommes simplement et il va falloir que tu les vires toi même:
    Va dans C:\windows\system32\ et recherches et effaces:

    sijlupgvmc.exe.ren
    sijlupgvmc.dat.ren
    sijlupgvmc.exe.ren
    sijlupgvmc_nav.dat.ren
    sijlupgvmc_navps.dat.ren

    Et ceci:

    c:\WINDOWS\Prefetch\SIJLUPGVMC.EXE-2D438A79.pf.ren

    Lance Ccleaner, et supprime comme sur le lien donné au dessu.

    Une fois fait, reposte un rapport hijackthis + le rapport de BFU que tu auras sauvegardé et un nouveau rapport de blacklight.

    bon nettoyage et bon courage ;-)
    0
    1. fredo
       
      les rapports :

      HIJACKTHIS :

      Logfile of HijackThis v1.99.1
      Scan saved at 21:33:37, on 29/11/2006
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      D:\WinZipnovembre2006\WZQKPICK.EXE
      C:\Program Files\Logitech\ImageStudio\LowLight.exe
      C:\Edwido\ewido anti-spyware 4.0\guard.exe
      D:\NORTON~1\NORTON~2\GHOSTS~2.EXE
      D:\NORTON SYSTEMWORKS\Norton AntiVirus\navapsvc.exe
      D:\NORTON SYSTEMWORKS\Norton Utilities\NPROTECT.EXE
      D:\NORTON~1\SPEEDD~1\nopdb.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE READER\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Program Files\Gold Codec\isaddon.dll (file missing)
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Program Files\Gold Codec\iesplugin.dll (file missing)
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [GhostStartTrayApp] D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [sijlupgvmc] c:\windows\system32\sijlupgvmc.exe sijlupgvmc
      O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
      O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\ADOBE READER\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = D:\OFFICE XP PRO\Office10\OSA.EXE
      O4 - Global Startup: WinZip Quick Pick.lnk = D:\WinZipnovembre2006\WZQKPICK.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
      O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\System32\xxfgmy.dll (file missing)
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Edwido\ewido anti-spyware 4.0\guard.exe
      O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~1\NORTON~2\GHOSTS~2.EXE
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\NORTON SYSTEMWORKS\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\NORTON SYSTEMWORKS\Norton Utilities\NPROTECT.EXE
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~1\SPEEDD~1\nopdb.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

      BFU :

      BFU v1.00.9
      Windows XP (WinNT 5.01.2600 )
      Script started at 20:51:44, on 29/11/2006

      Option Delete files to Recycle Bin: Yes
      Failed: RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|MC (key not found)
      Failed: DllUnregister C:\WINDOWS\System32\MSWBM32.DLL|1 (file not found)
      Failed: DllUnregister C:\Program Files\MailSkinner\OESkinner.dll|1 (file not found)
      Failed: FolderDelete C:\Program Files\dialpass (folder not found)
      Failed: FolderDelete C:\Program Files\eghtmldialer (folder not found)
      Failed: FolderDelete C:\Program Files\egroup (folder not found)
      Failed: FolderDelete C:\Program Files\Instant Access (folder not found)
      Failed: FolderDelete C:\Program Files\MailSkinner (folder not found)
      Failed: FolderDelete C:\Program Files\InternetGameBox (folder not found)
      Failed: FolderDelete C:\Program Files\GoRecord2 (folder not found)
      Failed: FolderDelete C:\Program Files\GoAstro (folder not found)
      Failed: FolderDelete C:\Program Files\SudoPlanet (folder not found)
      Failed: FolderDelete C:\Program Files\WebMediaPlayer (folder not found)
      Failed: FolderDelete C:\Program Files\MessengerSkinner (folder not found)
      Failed: DllUnregister C:\WINDOWS\mslagent\2_mslagent.dll|1 (file not found)
      Failed: DllUnregister C:\WINDOWS\navmpc\2_navmpc.dll|1 (file not found)
      Failed: FolderDelete C:\WINDOWS\mslagent (folder not found)
      Failed: FolderDelete C:\WINDOWS\navmpc (folder not found)
      Failed: FolderDelete C:\WINDOWS\wintrim (folder not found)
      Failed: FolderDelete C:\WINDOWS\wincomp (folder not found)
      Failed: FolderDelete C:\WINDOWS\winmgts (folder not found)
      Failed: FolderDelete C:\WINDOWS\simcss (folder not found)
      Failed: FolderDelete C:\WINDOWS\mc (folder not found)
      Failed: FileDelete C:\DOCUME~1\Fred\LOCALS~1\Temp\Perflib_Perfdata_cec.dat (operation failed)
      Failed: FileDelete C:\DOCUME~1\Fred\LOCALS~1\Temp\~DF27C8.tmp (operation failed)
      Failed: FileDelete C:\DOCUME~1\Fred\LOCALS~1\Temp\~DF2801.tmp (operation failed)
      Failed: FileDelete C:\DOCUME~1\Fred\LOCALS~1\Temp\~DFBC77.tmp (operation failed)
      Failed: FileDelete C:\DOCUME~1\Fred\LOCALS~1\Temp\~DFD0E.tmp (operation failed)
      Failed: FileDelete C:\DOCUME~1\Fred\LOCALS~1\Temp\~DFD21.tmp (operation failed)
      Script completed.

      Et BLACKLIGHT :

      aucun rapport car NO HIDDEN...


      Voilà ! est ce que c'est fini ? car je n'ai plus de spam ni de message bulle alert trojan ni de CRITICAL SYSTEM ERRORS ...

      Les rapports sont bons ?
      ;o)))))

      Si ok, je tiens particulièrement à te remercier pour le temps que tu m'as consacré...
      J'aaurai juste aimé comprendre ce que je faisais... mais là je crois que ça dépasse mes capacités intellectuelles !! lol
      Sinon si tu me dis que tu es informaticiens, ça ne m'étonnerait pas du tout !! T'es un killer ! ;-)

      J'attends ton message de confirmation OK

      Bonne fin de soirée et... si ta journée a été galère, pense que ce soir tu as sauvé mon ordi ! et... moi par la même occas ! LOL

      Bye !
      0
  16. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re,

    Suis la manip donné au dessu

    a++
    0
  17. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Program Files\Gold Codec\isaddon.dll (file missing)

    O3 - Toolbar: Protection Bar - {96ebbe6a-2864-4345-b32b-26ee9be524b5} - C:\Program Files\Gold Codec\iesplugin.dll (file missing)

    O4 - HKLM\..\Run: [sijlupgvmc] c:\windows\system32\sijlupgvmc.exe sijlupgvmc

    O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\System32\xxfgmy.dll (file missing)

    Ferme HijackThis.

    Vérifie que ceci n'existe plus:

    C:\Program Files\Gold Codec

    Relance Smitfraudfix et choisis l option 4 (mise a jour)
    Puis relance le et choisis l option 1. Copie colle de nouveau le rapport stp.

    De plus, tu as tes failles de sécurité non corrigés. Il est IMPERATIF que tu mettes a jour windows en passant au SP1 ou au SP2.
    http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr

    Pour répondre a tes questions :-)

    Voilà ! est ce que c'est fini ? car je n'ai plus de spam ni de message bulle alert trojan ni de CRITICAL SYSTEM ERRORS ...

    Pour ce soucis oui, mais j aimerais que tu fasses ce que je t ai dis au dessu.

    Les rapports sont bons ?

    Quasiment lol

    Si ok, je tiens particulièrement à te remercier pour le temps que tu m'as consacré...

    De rien, y a pas de quoi !

    J'aaurai juste aimé comprendre ce que je faisais... mais là je crois que ça dépasse mes capacités intellectuelles !! lol

    J'aimerais bien t expliquer mais je suis a court de temps. Si ca t interresses, demande moi ulterieurement.

    Sinon si tu me dis que tu es informaticiens, ça ne m'étonnerait pas du tout !! T'es un killer ! ;-)

    Je suis juste étudiant, je n ai que 19 ans. Je suis loin d etre Informaticien lol

    Ma journée fut assez bonne, content de t avoir aidé :-)

    A+
    0
  18. fredo
     
    Salut régis59,

    moi qui croyait en avoir fini... lol

    1) j'ai fixé ce que tu m'as dit de cocher dans hijackthis
    2) j'ai vérifié que je n'avais plus C:\Program Files\Gold Codec
    3) j'ai relancé Smitfraudfix.cmd mais la fenêtre du script de commande NT se ferme et aucun rapport ne vient...

    voilà ...

    Sinon :

    - j'ai remarqué dans windows explorer c:\windows, des fichiers écrits en BLEU ! c normal ? du style $NtUninstallXXXX

    - quand je lance ccleaner j'ai la possibilité soit de choisir nettoyer soit de regarder les erreurs. Quand je scan les erreurs, il me sort un listing et j'ai remarqué (par exemple) dans la colonne problèmes : vieille clé du menu démarrage et la donnée : Pest Trap et Virus Bursters... 2 noms qu'on a viré me semble t -il non ? C normal ? Est ce que je click sur : réparer les erreurs ?

    - et dernier petit truc : est ce qu'il existe un moyen d'éviter les page de pub qui s'ouvrent lorsque je suis sur internet ? j'ai des pop up non autorisés mais ca ne marche pas...

    Ben oui maintenant j'en profite !!! LOL

    19 ans !!!!!!!!!!! je suis vraiment impressionné... je pense que tu n'auras pas de mal à atteindre tes objectifs professionnels !

    j'ai 29 ans je suis ingénieur mais MALHEUREUSEMENT pas en informatique !!!

    Bonne soirée à bientôt !!!
    0
  19. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    moi qui croyait en avoir fini... lol

    Pressé de me quitter? lol

    - j'ai remarqué dans windows explorer c:\windows, des fichiers écrits en BLEU ! c normal ? du style $NtUninstallXXXX

    Oui c'est Normal.

    - quand je lance ccleaner j'ai la possibilité soit de choisir nettoyer soit de regarder les erreurs. Quand je scan les erreurs, il me sort un listing et j'ai remarqué (par exemple) dans la colonne problèmes : vieille clé du menu démarrage et la donnée : Pest Trap et Virus Bursters... 2 noms qu'on a viré me semble t -il non ? C normal ? Est ce que je click sur : réparer les erreurs ?

    Oui répare les erreurs.

    - et dernier petit truc : est ce qu'il existe un moyen d'éviter les page de pub qui s'ouvrent lorsque je suis sur internet ? j'ai des pop up non autorisés mais ca ne marche pas...

    Quels genres de pages de pubs as tu?

    Ben oui maintenant j'en profite !!! LOL

    T'as bien raison lol

    19 ans !!!!!!!!!!! je suis vraiment impressionné... je pense que tu n'auras pas de mal à atteindre tes objectifs professionnels !

    On verra bien :-D

    j'ai 29 ans je suis ingénieur mais MALHEUREUSEMENT pas en informatique !!!

    Ah bon? Tu m en dis plus?

    Bonne soirée
    0
  20. fredo
     
    hi regis59 !

    Tu ne m'as pas dit pour SmitFraudFix ? La fenêtre se ferme sans me donner de rapport de script winNT...

    Sinon les pub : tout style : casino, voyage, porno etc...

    Je crois qu'on va battre le recour du site en nombre de réponses !

    ;-)

    A+
    Bon we
    0
  21. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Pour smitfraudfix, tu doubles clik bien sur Smitfraudfix.cmd?

    Pour les pubs, remet moi un hijack this, un black light stp

    En nombre de réponse? On en est encore loin ! Encore 7 fois cela et on y sera lol

    A+
    0
    1. fredo
       
      Lorsque je double click sur Smitfraudfix.cmd une fenêtre apparait en WinNT et me demande d'appuyer sur une touche pour continuer... ce que je fais... puis la fenêtre se ferme et plus rien ! pas de rapport !

      Pour les pubs, j'ai remarqué ce matin que je n'en avez pas eu lorsque j'ai surfé sur le net... mais je te donne quand même les rapports que tu m'as demandé...

      Logfile of HijackThis v1.99.1
      Scan saved at 12:20:33, on 02/12/2006
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      D:\WinZipnovembre2006\WZQKPICK.EXE
      C:\Program Files\Logitech\ImageStudio\LowLight.exe
      C:\Edwido\ewido anti-spyware 4.0\guard.exe
      D:\NORTON~1\NORTON~2\GHOSTS~2.EXE
      D:\NORTON SYSTEMWORKS\Norton AntiVirus\navapsvc.exe
      D:\NORTON SYSTEMWORKS\Norton Utilities\NPROTECT.EXE
      D:\NORTON~1\SPEEDD~1\nopdb.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE READER\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NORTON SYSTEMWORKS\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [GhostStartTrayApp] D:\NORTON SYSTEMWORKS\Norton Ghost\GhostStartTrayApp.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
      O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
      O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\ADOBE READER\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = D:\OFFICE XP PRO\Office10\OSA.EXE
      O4 - Global Startup: WinZip Quick Pick.lnk = D:\WinZipnovembre2006\WZQKPICK.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
      O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Edwido\ewido anti-spyware 4.0\guard.exe
      O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~1\NORTON~2\GHOSTS~2.EXE
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\NORTON SYSTEMWORKS\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\NORTON SYSTEMWORKS\Norton Utilities\NPROTECT.EXE
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~1\SPEEDD~1\nopdb.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

      12/02/06 12:25:38 [Info]: BlackLight Engine 1.0.47 initialized
      12/02/06 12:25:38 [Info]: OS: 5.1 build 2600 ()
      12/02/06 12:25:39 [Note]: 7019 4
      12/02/06 12:25:39 [Note]: 7005 0
      12/02/06 12:25:42 [Note]: 7006 0
      12/02/06 12:25:42 [Note]: 7011 1280
      12/02/06 12:25:43 [Note]: 7026 0
      12/02/06 12:25:43 [Note]: 7026 0
      12/02/06 12:26:02 [Note]: FSRAW library version 1.7.1020
      12/02/06 12:28:27 [Note]: 7007 0

      Au fait ça sert à quoi SmitFraudFix ? et Blacklight ? et BFU ? et silentrunner ? Et comment tu sais d'après les rapports ce qui est bon ou pas ?

      Autre question (j'en profite ! et tu m'as dit que j'avais raison ! LOL) : on m'a filé un DD... j'aimerai l'installé en plus du mien... pour les branchements ca devrait aller (master, slave, jumpers...) mais pour les programmes dans DOS... format, etc... je ne capte rien ! tu aurais me coatcher ? Le DD qu'on m'a passé contient des virus... si je le format, il devrait être OK après non ? Est ce qu'il peut contaminer mon DD ? et comment decompartitionner mon DD ?

      AHAH ! ca en fait des questions hein ? heureux d'avoir fait ma connaissance ?? LOL LOL LOL ?

      A+ !!!!!!!!

      Voilà ! A+ ???

      ;o)))
      0
  • 1
  • 2