Pages intempestives et Virus Résolu/Fermé

Question

Bonjour,

Un thème 100 fois abordé, les fenetres intempestives omme win pro 2006 ou drive cleaner...

Je n'arrive vraiment pas à m'en débarasser et c'est pas faute d'avoir essayer. Ca commence à me rendre chèvre alors aider moi SVP !

Et puis, dans la foulée, j'ai attrappé un virus qui s'accroche aussi : sdbot.worm.jen. J'ai MacAfee et il ne peut rien faire.

Aidez moi Please !
Merci

Regis59 · Answer

Salut,

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Regis59 · Answer

Re,

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Regis59 · Answer

Re,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------

A+

Regis59 · Answer

Salut

Ou en sont tes soucis?

A+

Regis59 · Answer

Salut,

Lance ce scan en ligne: 
http://www.bitdefender.fr/scan8/ie.html  
Copie/colle le rapport
Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm

A+

Regis59 · Answer

On va pas se compliquer, fais le ici lol

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Regis59 · Answer

Salut

Ok, il reste des infections.

AVG Anti-Spyware :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

¤ Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Copie/colle le rapport sur le forum.

A+

Regis59 · Answer

Salut,

Télécharge: Pocket Killbox ici 
http://www.downloads.subratam.org/KillBox.exe 

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm 

Utilise la méthode du bloc note avec cette liste:

C:\WINDOWS\system32\fkqgk.exe
C:\WINDOWS\system32\fmlnwfpg.dll 
C:\WINDOWS\system32\frskmgo.exe 
C:\WINDOWS\system32\fvcvhnlw.exe
C:\WINDOWS\system32\fxpaolge.exe
C:\WINDOWS\system32\kupopgxb.dll
C:\WINDOWS\system32\lbvskqoy.dll 
C:\WINDOWS\system32\qyfomy.exe
C:\WINDOWS\system32\uytcerfk.dll 
C:\WINDOWS\system32\wsexkipr.dll
C:\WINDOWS\system32\xqninw.exe 
C:\WINDOWS\system32\yendfqgu.dll
C:\WINDOWS\system32\yqxbyeas.dll

Redemarre ton PC

Relance un scan de Kaspersky et copie colle le rapport.

A+

Jenny · Answer

Salut,

Je pars jusqu'à dimanche après-midi alors ne crois pas que je laisse tomber si tu n'as pas de nouvelles répones d'ici là.

Merci pour ton aide !

Voilà le nouveau rapport :


C:\!KillBox\fkqgk.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\!KillBox\fmlnwfpg.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\!KillBox\frskmgo.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\!KillBox\fvcvhnlw.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\!KillBox\fxpaolge.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\!KillBox\kupopgxb.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\!KillBox\lbvskqoy.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\!KillBox\qyfomy.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\!KillBox\uytcerfk.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\!KillBox\wsexkipr.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\!KillBox\xqninw.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\!KillBox\yendfqgu.dll  Infecté : Trojan.Win32.BHO.g  ignoré  
 
C:\!KillBox\yqxbyeas.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\Agent\Logs\TaskScheduler\McTskshd000.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\VSO\OASLogs\OAS.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Historique\History.IE5\MSHist012007020320070204\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\M18J0JAV\adv482[1].htm  Infecté : Trojan-Downloader.JS.Agent.ab  ignoré  
 
C:\Documents and Settings\jenny\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\NTUSER.DAT.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Program Files\McAfee.com\Personal Firewall\data\hwcache.xdb  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP132\A0011511.exe  Infecté : Backdoor.Win32.SdBot.bdk  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012748.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012749.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012750.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012751.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012752.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012753.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012754.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012755.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012756.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012757.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012758.exe  Infecté : Trojan-Proxy.Win32.Ranky.gi  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012759.dll  Infecté : Trojan.Win32.BHO.g  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP135\A0012760.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP137\change.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{E3EC5D5C-3DD5-4AA7-A2B6-7A2729E1193E}.bin  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edbtmp.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\cbgpgapr.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\jnxxnfyk.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Temp\sqlite_7bNmVBXwk6Nbkem  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

Regis59 · Answer

Salut

ok ! 

Supprime les ici:
C:\!KillBox\

et ici:
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\M18J0JAV\adv482[1].htm

A+

Regis59 · Answer

Ok,

Relance un scan en ligne et remet le rapport

A demain, bon dimanche

Regis59 · Answer

Salut

Si si t inquietes !

Resupprime ceci avec kill box.

C:\WINDOWS\system32\cbgpgapr.dll 
C:\WINDOWS\system32\jnxxnfyk.dll

¤Désactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu coches la case « désactiver la restauration » et applique.

Puis,

¤Réactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et applique.

Refais un scan

A+

raoul.perez · Answer

Bonjour,
J'ai aussi eu ces virus je suis allé sur assiste.com (un site extraordinaire).j'ai telechargé NOD32 ,un SCAN et HOP virus envolé (pour le moment ).AVAST n'avais rien detecté???
Il semblerait que KAPERSKY soit le meilleur antivirus,suivi de F-SECURE ,NO9D32 en ce qui concerne l'EFFICACITE uniquement .
C'est simple à effectuer bon courage.

Jenny · Answer

Merci pour ton conseil Roul ! Mais pour le moment, je vais continuer à suivre les conseils de Regis. Ca fait un moment qu'on bataille et on en voit le bout tout doucement. Merci quand même !

Regis,
Voici le nouveau rapport ! Tu as raison, ça s'ameliore !

a+
KASPERSKY ON-LINE SCANNER REPORT  
Sunday, February 04, 2007 11:14:10 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/02/2007
Enregistrements dans la base antivirus Kaspersky : 249992
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
A:\
C:\
D:\
E:\
F:\  
 
Statistiques de l'analyse 
Total d'objets analysés 27343 
Nombre de virus trouvés 1 
Nombre d'objets infectés 2 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:35:20 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\All Users\Application Data\McAfee.com\Agent\Logs\TaskScheduler\McTskshd001.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\VSO\OASLogs\OAS.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Historique\History.IE5\MSHist012007020420070205\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\NTUSER.DAT.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\UserData\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP139\A0012950.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP139\A0012951.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\System Volume Information\_restore{43604870-448B-4AB2-A934-A969094DE1EB}\RP139\change.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\EventCache\{98C4F931-8A45-4055-8984-1A71EC084EBE}.bin  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

Regis59 · Answer

Re,

¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique. 

Relance un scan et il doit etre ok normalement.

;)

A+

Jenny · Answer

Voici le rappaort après la desactivation. J'ai toujours les pages intempestives comme drive cleaner..etc.. à gogo.

KASPERSKY ON-LINE SCANNER REPORT  
Monday, February 05, 2007 8:17:24 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/02/2007
Enregistrements dans la base antivirus Kaspersky : 250307
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
A:\
C:\
D:\
E:\
F:\  
 
Statistiques de l'analyse 
Total d'objets analysés 26391 
Nombre de virus trouvés 1 
Nombre d'objets infectés 1 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:46:23 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\All Users\Application Data\McAfee.com\Agent\Logs\TaskScheduler\McTskshd001.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\McAfee.com\VSO\OASLogs\OAS.log  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Application Data\Adobe\Acrobat\7.0\Updater\udlog.txt  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Identities\{AA00096B-3CF9-4336-8FCB-725EC406A2E4}\Microsoft\Outlook Express\Boîte de réception.dbx  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Identities\{AA00096B-3CF9-4336-8FCB-725EC406A2E4}\Microsoft\Outlook Express\Folders.dbx  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Identities\{AA00096B-3CF9-4336-8FCB-725EC406A2E4}\Microsoft\Outlook Express\Offline.dbx  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Identities\{AA00096B-3CF9-4336-8FCB-725EC406A2E4}\Microsoft\Outlook Express\Pop3uidl.dbx  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Identities\{AA00096B-3CF9-4336-8FCB-725EC406A2E4}\Microsoft\Outlook Express\Éléments supprimés.dbx  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Historique\History.IE5\MSHist012007020520070206\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\4XY749QR\errsfw[1].htm  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\8X63052R\53258_1409107121_snowslide[1].flv  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\jenny\NTUSER.DAT.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32oarlcvx.dll  Infecté : Trojan-Spy.Win32.VBStat.h  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

Regis59 · Answer

Re,

Télécharge LopxpMH sur ton Bureau. 

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip 

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat. 

Poste le contenu du rapport qui va s'ouvrir.

A+

Regis59 · Answer

OK.

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+

Jenny · Answer

SmitFraudFix v2.137

Rapport fait à 21:04:44,90, 05/02/2007
Executé à partir de C:\Program Files\Internet Download Manager\DwnlData\jenny\SmitfraudFix_55\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jenny


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jenny\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jenny\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Regis59 · Answer

Execute ceci:
http://mvps.org/winhelp2002/DelDomains.inf 

Et Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Jenny · Answer

Search Navipromo version 1.0.3 commencé le 05/02/2007 à 21:10:44,23
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\jenny\Bureau\virus
Mise a jour le 28.01.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***


 

*** Recherche dossiers dans C:\Program Files ***


 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***


 

*** Recherche dossiers dans C:\Documents and Settings\jenny\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 02/05/07 at 21:10:47.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 02/05/07 at 21:16:40 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre *** 


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de recherche complémentaire *** 
(recherche fichiers spécifiques) 
 
 
 
*** Analyse Terminé le 05/02/2007 à 21:17:45,23 ***

Regis59 · Answer

Re,

Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs 
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

A+

Jenny · Answer

re, "Silent Runners.vbs", revision R50, https://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS] "IDMan" = "C:\Program Files\Internet Download Manager\IDMan.exe /onboot" ["Tonec Inc."] "updateMgr" = "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "VTTimer" = "VTTimer.exe" ["S3 Graphics, Inc."] "TkBellExe" = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot" ["RealNetworks, Inc."] "AudioDeck" = "C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1" ["VIA Technologies, Inc."] "MCAgentExe" = "c:\PROGRA~1\mcafee.com\agent\mcagent.exe" ["McAfee, Inc"] "MCUpdateExe" = "C:\PROGRA~1\mcafee.com\agent\McUpdate.exe" ["McAfee, Inc"] "MPFExe" = "C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" ["McAfee Security"] "VSOCheckTask" = ""C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask" ["McAfee, Inc."] "VirusScan Online" = "C:\Program Files\McAfee.com\VSO\mcvsshld.exe" ["McAfee, Inc."] "OASClnt" = "C:\Program Files\McAfee.com\VSO\oasclnt.exe" ["McAfee, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {0055C089-8582-441B-A0BF-17B458C2A3A8}\(Default) = (no title provided) -> {HKLM...CLSID} = "IDMIEHlprObj Class" \InProcServer32\(Default) = "C:\Program Files\Internet Download Manager\IDMIECC.dll" ["Tonec Inc."] {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {3F76AA99-A45C-4635-8FE9-A6D186F46471}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\wvuvsrq.dll" [null data] {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\agufmlin.dll" [null data] {85F27713-41F3-4181-B43E-9CEA4D11DFE7}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\vturs.dll" [null data] {A9B80FC9-68E3-437F-9E30-DF59976FF373}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\gebca.dll" [file not found] {E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = (no title provided) -> {HKLM...CLSID} = "FlashFXP Helper for Internet Explorer" \InProcServer32\(Default) = "C:\PROGRA~1\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> {HKLM...CLSID} = "CloneCD Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] "{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "My Logitech Pictures" -> {HKLM...CLSID} = "My Logitech Pictures" \InProcServer32\(Default) = "C:\Program Files\Logitech\Video\Namespc2.dll" ["Logitech Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Program Files\Real\RealOne Player\rpshellext.dll" ["RealNetworks"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <> "{3F76AA99-A45C-4635-8FE9-A6D186F46471}" = "*i" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\wvuvsrq.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <> vturs\DLLName = "C:\WINDOWS\system32\vturs.dll" [null data] <> wvuvsrq\DLLName = "wvuvsrq.dll" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "DisableRegistryTools" = (REG_DWORD) hex:0x00000000 {Prevent access to registry editing tools} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\jenny\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\SG1.scr" ["MacSourcery"] Startup items in "jenny" & "All Users" startup folders: ------------------------------------------------------- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Adobe Gamma Loader" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\System32\idmmbc.dll ["Tonec Inc."], 01 - 04, 22 %SystemRoot%\system32\mswsock.dll [MS], 05 - 07, 10 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 08 - 09 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{BA52B914-B692-46C4-B683-905236F6F655}" = "McAfee VirusScan" -> {HKLM...CLSID} = "McAfee VirusScan" \InProcServer32\(Default) = "c:\progra~1\mcafee.com\vso\mcvsshl.dll" ["McAfee, Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f" Missing lines (compared with English-language version): [Strings]: 2 lines HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Z" (unwritable string) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Diskeeper, Diskeeper, ""C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe"" ["Executive Software International, Inc."] McAfee Personal Firewall Service, MpfService, "C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe" ["McAfee Corporation"] McAfee Task Scheduler, McTskshd.exe, "c:\PROGRA~1\mcafee.com\agent\mctskshd.exe" ["McAfee, Inc"] McAfee WSC Integration, McDetect.exe, "c:\program files\mcafee.com\agent\mcdetect.exe" ["McAfee, Inc"] McAfee.com McShield, McShield, "c:\PROGRA~1\mcafee.com\vso\mcshield.exe" ["McAfee Inc."] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor iP1700\Driver = "CNMLM7W.DLL" ["CANON INC."] ---------- <>: Suspicious data at a malware launch point. <>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 76 seconds, including 10 seconds for message boxes)

Regis59 · Answer

Yop,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Regis59 · Answer

Salut

Fixe ceci:
O2 - BHO: (no name) - {3F76AA99-A45C-4635-8FE9-A6D186F46471} - C:\WINDOWS\System32\wvuvsrq.dll (file missing)
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINDOWS\system32\agufmlin.dll (file missing)
O2 - BHO: (no name) - {85F27713-41F3-4181-B43E-9CEA4D11DFE7} - C:\WINDOWS\system32\vturs.dll (file missing)
O2 - BHO: (no name) - {A9B80FC9-68E3-437F-9E30-DF59976FF373} - C:\WINDOWS\System32\gebca.dll (file missing) 

Renomme hijackthis.exe en scan.exe et remet un nouvel Hijackthis

a+

Regis59 · Answer

Ok, merci Seb

Desole de ne pas avoir été précis mais j'etais pressé, j avais que 10min pour venir sur le forum...

Ou en sont tes soucis?

A+

Regis59 · Answer

De rien ;)

Bravo pour ta patience :)

Bonne soirée

Pages intempestives et Virus

27 réponses

Discussions similaires

Newsletters