Virus worm

Résolu
milerida -  
blondin777 Messages postés 6162 Statut Contributeur -
bonjour,

j'ai un probleme avec mon pc. j'ai avg comme antivirus et ce matin il m'a trouvé un virus Worm/VB.AUG
il me l'a "réparé", j'ai refait un scan avec avast et plus rien de trouvé. mais depuis internet explorer ne fonctionne plus. j'ai aussi mozilla comme navigateur, celui marche correctement mais internet explorer j'ai une page blanche rien ne se charge. pareil pour msn il n'arrive pas a se connecter. j'ai telechargé hijackthis dont voici le résumé :
Logfile of HijackThis v1.99.1
Scan saved at 18:02:36, on 11/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\msn\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Offline Web Pages\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgvv.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2D53462D-59CE-DA1B-6715-0F9FDFE728B6} - C:\DOCUME~1\ADMINI~1\APPLIC~1\GREYVC~1\AxisByte.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [MetaObjDogTons] C:\Documents and Settings\All Users\Application Data\01 tool meta obj\Corn anti.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\msn\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ACEINTRA] C:\DOCUME~1\ADMINI~1\APPLIC~1\BASHFO~1\Clock Wait.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC767D0D-9D3E-4450-B525-A512ACC53AD6}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: DirectX Service (Mybir) - Unknown owner - C:\WINDOWS\system32\directx.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

voila j'espere que vous pourrez m'aider.
par avance merci.
Configuration: Windows XP
Firefox 2.0.0.2

24 réponses

  • 1
  • 2
  1. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Salut.

    Fais un clic droit sur ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.bat
    Laisses-toi guider. Au menu principal, choisis 1 et valides.
    Patientes jusqu'au message :

    "Analyse Termine le ..... "

    Appuies sur une touche comme demandé, le bloc-notes va s'ouvrir.
    Copies-colles l'intégralité içi. Refermes le bloc-notes.
    0
  2. milerida
     
    Search Navipromo version 1.0.6 commencé le 11/03/2007 à 19:01:04,07

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Documents and Settings\Administrateur\Bureau
    Mise a jour le 08.03.2007 a 14h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1055.

    [+] Started on 03/11/07 at 19:01:07.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ..........................................................................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 03/11/07 at 19:09:27 (return code = 0).

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers connus:

    2)Recherche Heuristique :
    *
    **
    ***
    ****

    *** Analyse Terminé le 11/03/2007 à 19:09:34,03 ***
    0
  3. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Tu fais démarrer>>panneau de config>>ajout/suppr des programmes et tu désinstalles ça:

    ewido anti-spyware 4.0

    regardes dans la même liste si ce programme est présent:

    MessengerPlus3


    S'il est présent,
    Cliques dessus pour le désinstaller et choisis de ne supprimer que les sponsors.

    Telecharges Killbox : https://www.generation-nt.com/killbox-telechargement-25430.html

    Doubles clique sur killbox.exe (Pocket Killbox)

    sélectionne entièrement la liste ci-dessous :

    c:\windows\system32\emstgo.exe
    C:\WINDOWS\system32\qciycgyh.dll

    ---> et tu fais clic droit / copier

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le menu "File" -> "Past from clip board"
    - Clique sur All Files
    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.
    N'hésite pas à consulter l'Aide killbox

    NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

    Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
    Poste le rapport ici

    Repostes un log hijackthis.
    0
  4. milerida
     
    dans la liste des programmes je n'ai pas ewido anti-spyware 4.0 et je n'arrive pas a desinstaller messenger plus 3 ça bugge, ça se bloque.
    qu'est ce que je fais, je continues quand meme, je telecharge killbox????
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Autant pour moi. J'ai confondu avec un autre log.

    Comment ça ça bugge, pour messenger plus 3?

    En tout cas continues la procedure.
    0
    1. milerida
       
      pas de reponse????
      ai-je mal transmis??????
      0
  7. milerida
     
    rapport killbox :
    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ dimanche, mars 11, 2007, 8:53 PM

    # 1 [Delete on Reboot]
    Path = c:\windows\system32\emstgo.exe

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 8:55:21 PM
    # 2 [Delete on Reboot]
    Path = c:\windows\system32\emstgo.exe

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 8:56:13 PM
    Killbox Closed(Exit) @ 8:56:31 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ dimanche, mars 11, 2007, 9:04 PM

    log hijackthis :
    Logfile of HijackThis v1.99.1
    Scan saved at 21:07:03, on 11/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\msn\MsgPlus.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Offline Web Pages\explorer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrateur\Bureau\KillBox.exe
    C:\WINDOWS\notepad.exe
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2D53462D-59CE-DA1B-6715-0F9FDFE728B6} - C:\DOCUME~1\ADMINI~1\APPLIC~1\GREYVC~1\AxisByte.exe (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [MetaObjDogTons] C:\Documents and Settings\All Users\Application Data\01 tool meta obj\Corn anti.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\msn\MsgPlus.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FC767D0D-9D3E-4450-B525-A512ACC53AD6}: NameServer = 212.151.136.242 212.151.137.170
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: DirectX Service (Mybir) - Unknown owner - C:\WINDOWS\system32\directx.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  8. milerida
     
    pas de réponse...
    ai-je mal transmis??????????
    0
  9. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Telecharges Killbox : https://www.generation-nt.com/killbox-telechargement-25430.html

    Doubles clique sur killbox.exe (Pocket Killbox)

    - Vas sur l'onglet "Process", sélectionnes les processus suivants:

    MsgPlus.exe
    notepad.exe


    - Cliques sur "EndTask"

    Une confirmation est demandée, cliques sur le bouton "Oui".

    ensuite relances hijackthis, coches et fixes les lignes suivantes:

    O2 - BHO: (no name) - {2D53462D-59CE-DA1B-6715-0F9FDFE728B6} - C:\DOCUME~1\ADMINI~1\APPLIC~1\GREYVC~1\AxisByte.exe (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [MetaObjDogTons] C:\Documents and Settings\All Users\Application Data\01 tool meta obj\Corn anti.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\msn\MsgPlus.exe"
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel -
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

    Vas dans le menu démarrer -> executer et tu tapes : services.msc

    ** Cherche le service suivant : directx.exe

    Double clic dessus : dans le champs "Status du service" met le sur "arrêté"
    dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"
    Quitte les services.

    Repostes un log hijackthis et dis moi ce qu'il en est.
    0
  10. milerida
     
    désolée de n'avoir pu répondre plus tot.
    je viens de rentrer, j'ai rallumé mon pc et tout remarche comme avant; internet explorer s'ouvre correctement et msn se connecte bien.
    dois-je quand meme continuer?????
    0
  11. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Oui, tu continues excepté pour MsgPlus.exe pour l'instant.
    0
  12. milerida
     
    bonjour,
    désolée de n'avoir pu continuer cette semaine pas eu le temps.

    dans killbox je n'ai pas trouvé le notepad.exe donc j'ai fait que pour msgplus.exe

    voila le log hijackthis :
    Logfile of HijackThis v1.99.1
    Scan saved at 10:06:18, on 16/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Offline Web Pages\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\dwwin.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FC767D0D-9D3E-4450-B525-A512ACC53AD6}: NameServer = 212.151.137.166 212.151.136.242
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: DirectX Service (Mybir) - Unknown owner - C:\WINDOWS\system32\directx.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  13. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Ton log est nickel. Il te rest juste ça à faire:

    Vas dans le menu démarrer -> executer et tu tapes : services.msc

    ** Cherche le service suivant : directx.exe

    Double clic dessus : dans le champs "Status du service" met le sur "arrêté"
    dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok"
    Quitte les services.
    0
  14. milerida
     
    pourtant je ne comprends pas internet explorer ne s'ouvre pas depuis ce matin, page blanche a nouveau.
    0
  15. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Télécharge clean.zip
    http://www.malekal.com/download/clean.zip
    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, suis les consignes.
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    Est ce que tu as le même souçi avec un autre navigateur, genre firefox?
    0
  16. milerida
     
    non j'ai pas de souci avec firefox.
    rapport clean :
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 16/03/2007 a 22:48:48,20

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\directx.exe FOUND

    "C:\Program Files\Adverts\" FOUND
    *** Fin du rapport !
    0
  17. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Doubles clique sur killbox.exe (Pocket Killbox)

    sélectionne entièrement la liste ci-dessous :

    C:\WINDOWS\system32\directx.exe
    C:\Program Files\Adverts


    ---> et tu fais clic droit / copier

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le menu "File" -> "Past from clip board"
    - Clique sur All Files
    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.

    NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

    Après redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log
    Poste le rapport ici
    0
  18. milerida
     
    comme par miracle tout remarche, j'y comprendrais vraiment jamais rien!

    log killbox :
    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ dimanche, mars 11, 2007, 8:53 PM

    # 1 [Delete on Reboot]
    Path = c:\windows\system32\emstgo.exe

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 8:55:21 PM
    # 2 [Delete on Reboot]
    Path = c:\windows\system32\emstgo.exe

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 8:56:13 PM
    Killbox Closed(Exit) @ 8:56:31 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ dimanche, mars 11, 2007, 9:04 PM

    Killbox Closed(Exit) @ 11:01:13 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ vendredi, mars 16, 2007, 9:56 AM

    # 1 [End Process]
    Path = MsgPlus.exe
    End Task on MsgPlus.exe was Successful

    Killbox Closed(Exit) @ 9:58:26 AM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ vendredi, mars 16, 2007, 11:53 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\system32\directx.exe

    I Rebooted @ 11:54:24 PM
    Killbox Closed(Exit) @ 11:54:25 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as Administrateur(Administrator)
    was started @ samedi, mars 17, 2007, 12:11 AM
    0
  19. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Post<9>, je t'avais demandé de désactiver ce service: directx.exe

    L'avais tu fais?

    On fait un dernier point avant nettoyage.
    0
  20. blondin777 Messages postés 6162 Statut Contributeur 945
     
    C'est tout bon.

    Tout est revenu normal à présent?

    Si c'est le cas, fais ça:

    Tu peux supprimer les fichiers de navilog1 qui ont été utilisés pour désinfecter ton ordinateur:

    * blbetac.exe
    * blbeta.exe
    * navilog1.bat
    * Process,exe
    * regnavi.reg
    * traiteregfsbl.bat
    * traitementfsbl.bat
    * le dossier backupnavi

    Ensuite tu fais:

    *Démarrer/Panneau de Configuration/Options Internet.
    *Choisis l'onglet Contenu puis onglet Certificats.
    *Si tu trouves les programmes suivant (en particulier dans Editeurs approuvés), supprime-les :
    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"

    Tiens moi au courant.
    0
  • 1
  • 2