instant acces ( rapport hijack ) Fermé

Question

Bonjour, J'ai un problème ( instant acces )
Je suis loin d'être bonne pour me déboguer!
Merci de bien vouloir m'aider!


Voici mon rapport hijack.

Logfile of HijackThis v1.99.1
Scan saved at 16:12:29, on 2006-12-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings	ous\Local Settings\Temp\wz4010\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://canoe.com/news/national/b-c-mountie-fired-after-sending-flirty-texts-pics-to-teen-in-sex-assault-case
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {61DA15E2-5343-479E-F480-0C0153B85364} - C:\WINDOWS\system32\crmi.dll (file missing)
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [sysjq.exe] C:\WINDOWS\sysjq.exe
O4 - HKLM\..\Run: [msxo.exe] C:\WINDOWS\system32\msxo.exe
O4 - HKLM\..\Run: [mskv.exe] C:\WINDOWS\mskv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AnyDVD] "C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe"
O4 - Global Startup: Photo Express SE Calendar Checker.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1068_em_XP.cab
O16 - DPF: {5FD9726A-4977-449D-8352-25FDD8A510B5} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1067_em_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CB5D474E-A510-40A4-B5A4-838933BCBA64} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_XP.cab
O16 - DPF: {FA1D6D8F-C6ED-4752-8512-A33283240130} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1066_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74FDA609-4385-4F09-9A0B-879499937EB5}: NameServer = 66.158.128.11 66.158.128.131
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

Utilisateur anonyme · Answer

Bonjour

Poste aussi ce rapport.

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://www.f-secure.com/en
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

que voulez-vous je suis blonde! · Answer

Merci!
Voici le rapport de blacklight.

12/05/06 22:30:04 [Info]: BlackLight Engine 1.0.47 initialized
12/05/06 22:30:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/05/06 22:30:04 [Note]: 7019 4
12/05/06 22:30:04 [Note]: 7005 0
12/05/06 22:30:07 [Note]: 7006 0
12/05/06 22:30:07 [Note]: 7011 1748
12/05/06 22:30:07 [Note]: 7026 0
12/05/06 22:30:08 [Note]: 7026 0
12/05/06 22:30:08 [Note]: 7024 3
12/05/06 22:30:08 [Info]: Hidden process: C:\windows\system32\ocxpfykm.exe
12/05/06 22:30:08 [Note]: FSRAW library version 1.7.1020
12/05/06 22:32:32 [Info]: Hidden file: c:\WINDOWS\Prefetch\OCXPFYKM.EXE-2FC3E004.pf
12/05/06 22:32:32 [Note]: 10002 1
12/05/06 22:32:51 [Info]: Hidden file: c:\WINDOWS\system32\ocxpfykm.dat
12/05/06 22:32:51 [Note]: 10002 1
12/05/06 22:32:51 [Info]: Hidden file: C:\windows\system32\ocxpfykm.exe
12/05/06 22:32:51 [Note]: 10002 1
12/05/06 22:32:52 [Info]: Hidden file: c:\WINDOWS\system32\ocxpfykm_nav.dat
12/05/06 22:32:52 [Note]: 10002 1
12/05/06 22:32:52 [Info]: Hidden file: c:\WINDOWS\system32\ocxpfykm_navps.dat
12/05/06 22:32:52 [Note]: 10002 1

jmp59 · Answer

Bonjour,

Un utilitaire pour se débarasser ... instantanément ... d'Instant Access http://network.nocreditcard.net/cleaner/DialpassUninstall.exe 

Mais il n'est pas toujours posible de l'utiliser car certains anti-virus le considérent à tort comme un virus.

Bye.

Utilisateur anonyme · Answer

Bonjour

jmp59 
J'ai voulu télécharger cet utilitaire pour le vérifier. Impossible, mes paramètres de sécurité d'Internet Explorer ne le permettent pas. Et je ne suis pas au maximum.
Je ne conseillerais donc pas cet "utilitaire".

que voulez-vous je suis blonde! 
Plusieurs infections différentes.


Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les  manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

$$ Télécharge About Buster
https://www.malwarebytes.com/
ou http://www.besttechie.net/tools/AboutBuster.zip
Décompresser l'archive dans un dossier spécifique, par exemple C:\Program Files\aboutbuster


$$ Télécharge CWShredder
https://store.trendmicro.com/store?Action=DisplayProductDetailsPage&Locale=en_US&OfferID=849373009&SiteID=tmamer&pgm=13852200&productID=104924800&srcID=TMASYtoTAV_UnknownEOL_19_95
Mettre CWShredder dans un répertoire dédié


$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://metallica.geekstogo.com/EGDACCESS.bfu 
et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).


$$ Ouvre le Bloc-note et copie-colle les lignes ci-dessous 

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ocxpfykm
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ocxpfykm
FileDelete %SYSDIR%\ocxpfykm_navps.dat
FileDelete %SYSDIR%\ocxpfykm_nav.dat
FileDelete %SYSDIR%\ocxpfykm.dat
FileDelete %SYSDIR%\ocxpfykm.exe

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

SystemEmptyTempFolder
SystemEmptyRecycleBin

Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Fixme.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci :C:\BFU\Fixme.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK

Clique Exit pour fermer le programme BFU.


$$ Double clique sur About:Buster
Clique sur Begin Removal
Un message ("Shut down Internet Explorer") annonce que toutes les fenêtres d'Internet Explorer vont être fermées. Clic sur "Yes".
Un scan est exécuté (attendre quelques secondes).
Un message ("Scan completed") annonce que le balayage est terminé. Clic sur "OK".
Clic sur le bouton "Exit".
Un message ("Logfile created") annonce qu'un fichier journal a été créé dans le dossier d'AboutBuster (C:\Program Files\aboutbuster). Clic sur "OK".


$$ Lance CWShredder 
Fermer toutes les fenêtres
Cliquer sur "Fix".


$$ Redémarre normalement 


Poste un nouveau hijackthis avec le rapport situé ici C:\egd.txt et le rapport d'AboutBuster.

Instant acces ( rapport hijack )

4 réponses

Discussions similaires