Raport hijackthis
Résolu
mikeboe
Messages postés
23
Statut
Membre
-
philae83 Messages postés 12854 Statut Contributeur sécurité -
philae83 Messages postés 12854 Statut Contributeur sécurité -
bonsoir a tous,
les ordi et moi font deux. Et aujourd'hui plus que jamais. des fenetres de publicité pour winantivirus, errorsafe ou pc je ne sais plus koi s'ouvre constamment à l'ouverture d'une page internet. nettoyerle disqe dure principale ne marche pas non plus, regarder ses mails devient impossible. pouvez vous m'aider a résoudre ce problème je poste le raport hijackthis ici.
merci d'avance pour votre aide.
Logfile of HijackThis v1.99.1
Scan saved at 21:46:28, on 24/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\ehome\ehtray.exe
I:\Program Files\ATI Technologies\ATI.ACE\MACE.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\sm56hlpr.exe
I:\Program Files\QuickTime\qttask.exe
I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\MessengerSkinner\MessengerSkinner.exe
I:\WINDOWS\eHome\ehRecvr.exe
I:\WINDOWS\eHome\ehSched.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
I:\WINDOWS\system32\imapi.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\mace.exe
I:\WINDOWS\eHome\ehmsas.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
I:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AntivirusRegistration] I:\Program Files\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [ATIMACE] MACE.exe
O4 - HKLM\..\Run: [ATICCC] "I:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [messengerskinner] I:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless LAN USB Dongle.lnk = I:\Program Files\Wireless LAN USB Dongle\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586-jc.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
les ordi et moi font deux. Et aujourd'hui plus que jamais. des fenetres de publicité pour winantivirus, errorsafe ou pc je ne sais plus koi s'ouvre constamment à l'ouverture d'une page internet. nettoyerle disqe dure principale ne marche pas non plus, regarder ses mails devient impossible. pouvez vous m'aider a résoudre ce problème je poste le raport hijackthis ici.
merci d'avance pour votre aide.
Logfile of HijackThis v1.99.1
Scan saved at 21:46:28, on 24/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\ehome\ehtray.exe
I:\Program Files\ATI Technologies\ATI.ACE\MACE.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\sm56hlpr.exe
I:\Program Files\QuickTime\qttask.exe
I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\MessengerSkinner\MessengerSkinner.exe
I:\WINDOWS\eHome\ehRecvr.exe
I:\WINDOWS\eHome\ehSched.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
I:\WINDOWS\system32\imapi.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\mace.exe
I:\WINDOWS\eHome\ehmsas.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
I:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AntivirusRegistration] I:\Program Files\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [ATIMACE] MACE.exe
O4 - HKLM\..\Run: [ATICCC] "I:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [messengerskinner] I:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless LAN USB Dongle.lnk = I:\Program Files\Wireless LAN USB Dongle\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586-jc.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
A voir également:
- Raport hijackthis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Fastec raport page - Télécharger - Outils professionnels
- Rapport Hijackthis ✓ - Forum Virus
- Entraide Hijackthis ✓ - Forum Virus
- Analyse HiJackThis - Forum Virus
7 réponses
bonsoir,
* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence;
clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence;
clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
voici le rapport, blacklight
01/24/07 21:49:42 [Info]: BlackLight Engine 1.0.55 initialized
01/24/07 21:49:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/24/07 21:49:42 [Note]: 7019 4
01/24/07 21:49:42 [Note]: 7005 0
01/24/07 21:49:59 [Note]: 7006 0
01/24/07 21:49:59 [Note]: 7011 212
01/24/07 21:50:00 [Note]: 7026 0
01/24/07 21:50:00 [Note]: 7026 0
01/24/07 21:50:00 [Note]: 7024 3
01/24/07 21:50:00 [Info]: Hidden process: I:\windows\system32\khtqurocxc.exe
01/24/07 21:50:03 [Note]: FSRAW library version 1.7.1021
01/24/07 21:50:04 [Note]: 2000 1012
01/24/07 21:50:04 [Note]: 2000 1012
01/24/07 21:52:05 [Info]: Hidden file: i:\WINDOWS\system32\khtqurocxc.dat
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:52:05 [Info]: Hidden file: I:\windows\system32\khtqurocxc.exe
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:52:05 [Info]: Hidden file: i:\WINDOWS\system32\khtqurocxc_nav.dat
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:52:05 [Info]: Hidden file: i:\WINDOWS\system32\khtqurocxc_navps.dat
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:49:42 [Info]: BlackLight Engine 1.0.55 initialized
01/24/07 21:49:42 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/24/07 21:49:42 [Note]: 7019 4
01/24/07 21:49:42 [Note]: 7005 0
01/24/07 21:49:59 [Note]: 7006 0
01/24/07 21:49:59 [Note]: 7011 212
01/24/07 21:50:00 [Note]: 7026 0
01/24/07 21:50:00 [Note]: 7026 0
01/24/07 21:50:00 [Note]: 7024 3
01/24/07 21:50:00 [Info]: Hidden process: I:\windows\system32\khtqurocxc.exe
01/24/07 21:50:03 [Note]: FSRAW library version 1.7.1021
01/24/07 21:50:04 [Note]: 2000 1012
01/24/07 21:50:04 [Note]: 2000 1012
01/24/07 21:52:05 [Info]: Hidden file: i:\WINDOWS\system32\khtqurocxc.dat
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:52:05 [Info]: Hidden file: I:\windows\system32\khtqurocxc.exe
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:52:05 [Info]: Hidden file: i:\WINDOWS\system32\khtqurocxc_nav.dat
01/24/07 21:52:05 [Note]: 10002 1
01/24/07 21:52:05 [Info]: Hidden file: i:\WINDOWS\system32\khtqurocxc_navps.dat
01/24/07 21:52:05 [Note]: 10002 1
re
ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec
aide pour le mode sans échec :
http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924
* Télécharge CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
* télécharge Brute Force Uninstaller
http://www.merijn.org/files/bfu.zip
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* Navipromo.zip (par lazzzy)
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/Navipromo07.zip
et décompresse-le sur ton bureau
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
* relance HijackThis pour un scan seulement, coche et fixe ces lignes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O4 - HKCU\..\Run: [messengerskinner] I:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586-jc.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
puis
* via ajout et suppression de programme, supprime si tu le trouves
MessengerSkinner
* Assure toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"
* recherche et supprime ces dossiers ou fichiers, si tu les trouves :
C:\programfiles\MessengerSkinner
* Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprime-les tous
* Redémarre normalement et poste :
- un nouveau rapport HijackThis,
- le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec
aide pour le mode sans échec :
http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924
* Télécharge CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
* télécharge Brute Force Uninstaller
http://www.merijn.org/files/bfu.zip
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* Navipromo.zip (par lazzzy)
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/Navipromo07.zip
et décompresse-le sur ton bureau
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
* relance HijackThis pour un scan seulement, coche et fixe ces lignes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O4 - HKCU\..\Run: [messengerskinner] I:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Global Startup: Microsoft Office.lnk = I:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586-jc.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
puis
* via ajout et suppression de programme, supprime si tu le trouves
MessengerSkinner
* Assure toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"
* recherche et supprime ces dossiers ou fichiers, si tu les trouves :
C:\programfiles\MessengerSkinner
* Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprime-les tous
* Redémarre normalement et poste :
- un nouveau rapport HijackThis,
- le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
je ne comprend pas .
il faut que je telecharge tous ces éléments en mode sans echec mais je ne peux pas avoir acces a internet.
de plus si je suis la manip (le lien que tu m'as proposé pour le mode sans echec) je suis dans un mode dit de diagnostique
quand faut il que je passe en mode sans echec apres avoir tous téléchargé?
merci de t on aide
il faut que je telecharge tous ces éléments en mode sans echec mais je ne peux pas avoir acces a internet.
de plus si je suis la manip (le lien que tu m'as proposé pour le mode sans echec) je suis dans un mode dit de diagnostique
quand faut il que je passe en mode sans echec apres avoir tous téléchargé?
merci de t on aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bien évidemment, tu ne peux pas télécharger en mode sans échec, je pensais que c'était évident. Désolée.
Tu télécharges ce dont tu as besoin, et si tu lis bien plus bas il est écrit quand redémarrer en mode sans échec
Tu télécharges ce dont tu as besoin, et si tu lis bien plus bas il est écrit quand redémarrer en mode sans échec
Suis je bête,
voila premierement impossible de supprimer messenger skinner sans etre connecter a internet (error 0*2*3*0). apres l'execution de bfu\winsoftware.bfu apparition d'un message me confirmant d'etre en mode sans echec, puis ouverture de la page mes documents. enfin voila le rapport hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:15:41, on 24/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ehome\ehtray.exe
I:\Program Files\ATI Technologies\ATI.ACE\MACE.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\sm56hlpr.exe
I:\Program Files\QuickTime\qttask.exe
I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
I:\Program Files\Wireless LAN USB Dongle\ZDWlan.exe
I:\WINDOWS\eHome\ehRecvr.exe
I:\WINDOWS\eHome\ehSched.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
I:\WINDOWS\system32\imapi.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\wbem\wmiapsrv.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\mace.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\eHome\ehmsas.exe
I:\WINDOWS\system32\svchost.exe
I:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AntivirusRegistration] I:\Program Files\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [ATIMACE] MACE.exe
O4 - HKLM\..\Run: [ATICCC] "I:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Wireless LAN USB Dongle.lnk = I:\Program Files\Wireless LAN USB Dongle\ZDWlan.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
et celui de Navipromo.txt
Rapport Navipromo.bat 0.71 effectué le 24/01/2007 à 22:59:37,35
L'opération se déroule en mode sans échec sous le compte Administrateur
## Vérifications supplémentaires
Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.
* Navipromo
I:\WINDOWS\System32
khtqurocxc.exe
khtqurocxc_navps.dat
khtqurocxc.dat
khtqurocxc.dat
* Trojan Nebula
* Trojan Vundo
-------------
Rapport Navipromo.bat 0.71 effectué le 24/01/2007 à 23:00:38,09
L'opération se déroule en mode sans échec sous le compte Administrateur
** Recherche...
1/ khtqurocxc trouvé, recherche de khtqurocxc*
I:\WINDOWS\system32\khtqurocxc.dat
I:\WINDOWS\system32\khtqurocxc.exe
I:\WINDOWS\system32\khtqurocxc_nav.dat
I:\WINDOWS\system32\khtqurocxc_navps.dat
I:\WINDOWS\prefetch\KHTQUROCXC.EXE-37685A60.pf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
khtqurocxc REG_SZ i:\windows\system32\khtqurocxc.exe khtqurocxc
------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode
################################################
** Nettoyage...
1/ Déplacement de khtqurocxc* vers I:\Navipromo\Backups...
I:\WINDOWS\System32\khtqurocxc* déplacé avec succès !
I:\WINDOWS\prefetch\khtqurocxc* déplacé avec succès
------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées
* Backups :
I:\Navipromo\Backups\ARPCache.reg
I:\Navipromo\Backups\HKCURun.reg
I:\Navipromo\Backups\HKLMRun.reg
I:\Navipromo\Backups\khtqurocxc.dat
I:\Navipromo\Backups\khtqurocxc.exe
I:\Navipromo\Backups\KHTQUROCXC.EXE-37685A60.pf
I:\Navipromo\Backups\khtqurocxc_nav.dat
I:\Navipromo\Backups\khtqurocxc_navps.dat
I:\Navipromo\Backups\Uninstall.reg
Ajout d'extension .off aux backups
## Fin du rapport de Suppression
voila premierement impossible de supprimer messenger skinner sans etre connecter a internet (error 0*2*3*0). apres l'execution de bfu\winsoftware.bfu apparition d'un message me confirmant d'etre en mode sans echec, puis ouverture de la page mes documents. enfin voila le rapport hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:15:41, on 24/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\ehome\ehtray.exe
I:\Program Files\ATI Technologies\ATI.ACE\MACE.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\WINDOWS\sm56hlpr.exe
I:\Program Files\QuickTime\qttask.exe
I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
I:\Program Files\Wireless LAN USB Dongle\ZDWlan.exe
I:\WINDOWS\eHome\ehRecvr.exe
I:\WINDOWS\eHome\ehSched.exe
I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
I:\WINDOWS\system32\imapi.exe
I:\WINDOWS\system32\dllhost.exe
I:\WINDOWS\system32\wbem\wmiapsrv.exe
I:\WINDOWS\system32\wscntfy.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\mace.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\eHome\ehmsas.exe
I:\WINDOWS\system32\svchost.exe
I:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Program Files\Java\jre1.5.0_10\bin\ssv.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ehTray] I:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AntivirusRegistration] I:\Program Files\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [ATIMACE] MACE.exe
O4 - HKLM\..\Run: [ATICCC] "I:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Wireless LAN USB Dongle.lnk = I:\Program Files\Wireless LAN USB Dongle\ZDWlan.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - I:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - I:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - I:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - I:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
et celui de Navipromo.txt
Rapport Navipromo.bat 0.71 effectué le 24/01/2007 à 22:59:37,35
L'opération se déroule en mode sans échec sous le compte Administrateur
## Vérifications supplémentaires
Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.
* Navipromo
I:\WINDOWS\System32
khtqurocxc.exe
khtqurocxc_navps.dat
khtqurocxc.dat
khtqurocxc.dat
* Trojan Nebula
* Trojan Vundo
-------------
Rapport Navipromo.bat 0.71 effectué le 24/01/2007 à 23:00:38,09
L'opération se déroule en mode sans échec sous le compte Administrateur
** Recherche...
1/ khtqurocxc trouvé, recherche de khtqurocxc*
I:\WINDOWS\system32\khtqurocxc.dat
I:\WINDOWS\system32\khtqurocxc.exe
I:\WINDOWS\system32\khtqurocxc_nav.dat
I:\WINDOWS\system32\khtqurocxc_navps.dat
I:\WINDOWS\prefetch\KHTQUROCXC.EXE-37685A60.pf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
khtqurocxc REG_SZ i:\windows\system32\khtqurocxc.exe khtqurocxc
------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode
################################################
** Nettoyage...
1/ Déplacement de khtqurocxc* vers I:\Navipromo\Backups...
I:\WINDOWS\System32\khtqurocxc* déplacé avec succès !
I:\WINDOWS\prefetch\khtqurocxc* déplacé avec succès
------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées
* Backups :
I:\Navipromo\Backups\ARPCache.reg
I:\Navipromo\Backups\HKCURun.reg
I:\Navipromo\Backups\HKLMRun.reg
I:\Navipromo\Backups\khtqurocxc.dat
I:\Navipromo\Backups\khtqurocxc.exe
I:\Navipromo\Backups\KHTQUROCXC.EXE-37685A60.pf
I:\Navipromo\Backups\khtqurocxc_nav.dat
I:\Navipromo\Backups\khtqurocxc_navps.dat
I:\Navipromo\Backups\Uninstall.reg
Ajout d'extension .off aux backups
## Fin du rapport de Suppression
