Trojan et spyware attaquent mon pc

Résolu
dime78 -  
blondin777 Messages postés 6162 Statut Contributeur -
bonjour j'ai un tas de fenetres intempestives qui s'affichent sans cesse, des trojan, malware? jsuis pas très callé
quelqu'un pourrait-il m'aider?
merci
Configuration: Windows XP
Internet Explorer 6.0

20 réponses

  1. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Salut.

    télécharges « Hijackthis »:
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
    sauvegardes-le dans un dossier créé spécialement à la racine de ta partition principale (généralement c:\) (là où il y a "Windows", "Program Files"…)' nommes-le "hijackthis" pour le retrouver facilement (vois la démo ci-dessous).
    clic sur le fichier > « exécute » > « do a scan and save a logfile ».
    une fois fini tu vas avoir un « rapport.txt » (dans le dossier où tu l’as telechargé)
    postes ici ce rapport
    Démo : http://pageperso.aol.fr/balltrap34/Hijenr.gif
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. dime78
       
      voilà le rapport

      merci beaucoup

      Logfile of HijackThis v1.99.1
      Scan saved at 10:47:47, on 12/03/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\M-Audio Ozone\Install\Ozinst.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\PROGRA~1\INCRED~1\bin\IMApp.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Salaat Time\SalaatTime.exe
      C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
      C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
      C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
      C:\Program Files\Logitech\SetPoint\SetPoint.exe
      C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
      C:\Program Files\M-Audio Ozone\OZTask.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\WinRAR\WinRAR.exe
      C:\hijackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - Default URLSearchHook is missing
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Windows mod Verifier] Windows-mod.exe
      O4 - HKLM\..\Run: [asdgs] C:\http1.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [5gbff] C:\WINDOWS\lbxkkm.exe
      O4 - HKLM\..\Run: [HACcJi] C:\WINDOWS\jcjspx.exe
      O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i
      O4 - HKLM\..\Run: [Timer] C:\WINDOWS\timed.exe /i
      O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\ylltednr.dll",setvm
      O4 - HKLM\..\Run: [ERS_check] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\ers_startupmon.exe"
      O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\qiwvxaju.dll",setvm
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
      O4 - HKLM\..\RunServices: [Windows mod Verifier] Windows-mod.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
      O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
      O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
      O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
      O4 - Global Startup: M-Audio Ozone Control Panel Launcher.lnk = C:\Program Files\M-Audio Ozone\OZTask.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\\foo.mht!http://69.50.173.194/data/on.chm::/on.exe
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
      O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
      O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
      O20 - AppInit_DLLs: pushow2.dll
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
      O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe
      O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe (file missing)
      O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)
      0
    2. dime78
       
      t'en penses quoi?
      0
  2. dime78
     
    merci blondin je fais ça et t'envoi tout
    0
  3. blondin777 Messages postés 6162 Statut Contributeur 945
     
    # Télécharges et installes Look2Me-Destroyer

    http://www.atribune.org/ccount/click.php?id=7

    # Double-cliques Look2Me-Destroyer.exe afin de lancer l'outil.

    * NOTE: Si un message runtime error '339' s'affiche : Télécharges ça:

    http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

    et places-le dans le dossier C:\Windows\System32

    # Coches Run this program as a task
    # Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Cliques sur OK
    # Le programme va se relancer après 10 secondes, puis cliques sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
    # Lorsque le scan termine, cliques sur le bouton Remove L2M
    # Un message Done Scanning apparaîtra, clique OK.
    # Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; cliques sur OK.

    #DémarresAVG antispyware. Cliquer sur "mise à jour", cliques sur le bouton "Commencer la mise à jour" et attends la fin de cette mise à jour puis, fermes le programme.
    #Redemarres en mode sans échec

    https://www.malekal.com/demarrer-windows-mode-sans-echec/

    #Relances AVG AS et cliques sur l'onglet "scanner" puis sur "Analyse complète du système".
    #Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées.
    #Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse.

    Repostes un log hijacthis.
    0
    1. dime78
       
      re-bonjour Blondin

      merci pour ta réponse

      lorsque je redemarre en mode sans echec, j'ai un écran noir avec inscrit "mode sans echec" mais je n'arrive pas à accéder au bureau
      comment puis-je faire?
      merci
      0
  4. blondin777 Messages postés 6162 Statut Contributeur 945
     
    T'es bien vérolé alors si ca ne te gêne pas, je vais allé reposer les yeux avant de me pencher de trés près sur ton log.

    As tu quand même pu faire Look2Me?

    Buena note.

    A demain
    0
    1. dime78
       
      oui j'ai fait look2me mais je n'ai pas pu aller dans le mode sans echec
      merci et

      bonne nuit
      a demain si tu veux bien
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Clique sur démarrer -> panneau de configuration (en affichage classique) ->option des dossiers -> onglet « affichage »

    * Coches « afficher les dossiers et fichiers cachés »
    * Décoches « Masquer les fichiers protégés du système d'exploitation (recommandé) »
    * Décoches « masquer les extensions dont le type est connu »

    Puis Appliquer pour valider les changements. Et Ok.

    Coches et fixes les lignes suivantes dans hijackthis:

    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [Windows mod Verifier] Windows-mod.exe
    O4 - HKLM\..\Run: [asdgs] C:\http1.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [5gbff] C:\WINDOWS\lbxkkm.exe
    O4 - HKLM\..\Run: [HACcJi] C:\WINDOWS\jcjspx.exe
    O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i
    O4 - HKLM\..\Run: [Timer] C:\WINDOWS\timed.exe /i
    O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\ylltednr.dll",setvm
    O4 - HKLM\..\Run: [ERS_check] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\ers_startupmon.exe"
    O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\qiwvxaju.dll",setvm
    O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
    O4 - HKLM\..\RunServices: [Windows mod Verifier] Windows-mod.exe
    O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: M-Audio Ozone Control Panel Launcher.lnk = C:\Program Files\M-Audio Ozone\OZTask.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\\foo.mht!http://69.50.173.194/data/on.chm::/on.exe
    O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://www.afternic.com/domains/errorsafe.com
    O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O20 - AppInit_DLLs: pushow2.dll

    Vas dans le menu démarrer -> executer et tu tapes : services.msc

    ** Cherche le services suivants :

    Ozinst.exe
    perfont.exe
    win32ssr.exe


    Double clic dessus : dans le champs "Status du service" mets les sur "arrêté"
    dans le champs"Type de démarrage" mets les sur "désactivé"(Seul Ozinst.exe peut rester en manuel ) puis "Appliquer" puis"ok"

    Quitte les services.

    double clique sur ton poste de travail et fais une recherche dans c:\windows sur ces fichiers là et tu les supprimes si présents:

    lbxkkm.exe
    jcjspx.exe
    volumec.exe
    timed.exe
    winmsgr.exe


    Même manip' à cet endroit:

    C:\WINDOWS\System32 pour ces fichiers:

    qiwvxaju.dll
    ylltednr.dll


    Pareil pour ce fichier: C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\ers_startupmon.exe"

    Fais un clic droit sur ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.bat
    Laisses-toi guider. Au menu principal, choisis 1 et valides.
    Patientes jusqu'au message :

    "Analyse Termine le ..... "

    Appuies sur une touche comme demandé, le bloc-notes va s'ouvrir.
    Copies-colles l'intégralité içi. Refermes le bloc-notes.
    0
  7. dime78
     
    ??? qu'est ce que tu entends par "Coches et fixes les lignes suivantes dans hijackthis":
    0
  8. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Je t'ai mis une demo dans le post<1>...
    0
  9. dime78
     
    bonsoir blondin
    voilà les étapes que tu m'a conseillé sont remplies
    voici les différents rapports

    AVG :
    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 10:39:41 16/03/2007

    + Résultat de l'analyse:

    C:\Documents and Settings\horry\Cookies\horry@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@buycom.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@bfast[2].txt -> TrackingCookie.Bfast : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
    C:\Documents and Settings\horry\Cookies\horry@zedo[2].txt -> TrackingCookie.Zedo : Nettoyé.

    bloc note navilog

    Search Navipromo version 1.0.7 commencé le 17/03/2007 à 0:12:30,15

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Documents and Settings\horry\Bureau\navilog1
    Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\horry\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1055.

    [+] Started on 03/17/07 at 00:12:31.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ...........................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 03/17/07 at 00:14:23 (return code = 0).

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********

    *** Analyse Terminé le 17/03/2007 à 0:14:38,43 ***

    et hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 00:17:03, on 17/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Microsoft Office\Office\WINWORD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\limlegjl.dll",setvm
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
    O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe

    qu'en penses-tu? j'ai encore des fenetres intempestives qui apparaissent ...

    merci
    0
  10. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Re

    Installes un antivirus>>>Avast
    Installes un parefeu>>> zonealarm ou kerio, au choix.
    Mets à jour windows.

    coches et fixes cette ligne:

    O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\System32\limlegjl.dll",setvm

    Télécharge SmitfraudFix

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Dézippe-le sur le Bureau.
    Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
    Choisis l'option 1 (Recherche)
    Poste le rapport ici

    Télécharge clean.zip
    http://www.malekal.com/download/clean.zip
    Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
    Ouvre le dossier Clean qui se trouve sur ton bureau.
    Double-clic sur clean.cmd.
    Une fenêtre noire va apparaître, suis les consignes.
    Poste le rapport qui se trouve ici C:\rapport_clean.txt

    0
  11. dime78
     
    merci Blondin

    voici le rapport

    SmitFraudFix v2.148

    Rapport fait à 15:49:44,00, 18/03/2007
    Executé à partir de C:\Documents and Settings\horry\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\horry

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\horry\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\horry\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    et celui de clean:

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 18/03/2007 a 15:51:29,90

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\i FOUND
    C:\WINDOWS\system32\mcrh.tmp FOUND
    C:\WINDOWS\system32\stera.job FOUND
    C:\WINDOWS\system32\x FOUND
    C:\WINDOWS\system32\aswboot.exe FOUND
    C:\WINDOWS\system32\hqghumea.dll FOUND
    "C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

    "C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND
    *** Fin du rapport !

    qu'en penses tu

    merci
    0
  12. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Telecharges Killbox : https://www.generation-nt.com/killbox-telechargement-25430.html

    Doubles clique sur killbox.exe (Pocket Killbox)

    sélectionne entièrement la liste ci-dessous :

    C:\WINDOWS\system32\i
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\stera.job
    C:\WINDOWS\system32\x
    C:\WINDOWS\system32\hqghumea.dll
    C:\WINDOWS\Downloaded Program Files\CONFLICT.1
    C:\Program Files\DivX\Google\Firefox\ffinstaller.exe


    ---> et tu fais clic droit / copier

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le menu "File" -> "Past from clip board"
    - Clique sur All Files
    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.

    NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

    Après redémarrage, relance Killbox puis clic sur l'onglet "fichier" -> Log -> Actions History Log
    Poste le rapport ici

    Repostes un log clean après
    0
  13. dime78
     
    voilà blondin

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:49 PM

    Killbox Closed(Exit) @ 4:52:46 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:52 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\system32\i

    # 2 [Delete on Reboot]
    Path = C:\WINDOWS\system32\mcrh.tmp

    # 3 [Delete on Reboot]
    Path = C:\WINDOWS\system32\x

    # 4 [Delete on Reboot]
    Path = C:\WINDOWS\system32\hqghumea.dll

    # 5 [Delete on Reboot]
    Path = C:\WINDOWS\Downloaded Program Files\CONFLICT.1

    # 6 [Delete on Reboot]
    Path = C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

    I Rebooted @ 4:54:03 PM
    Killbox Closed(Exit) @ 4:54:04 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:57 PM

    et clean :

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 18/03/2007 a 16:58:59,84

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\aswboot.exe FOUND

    *** Fin du rapport !
    0
  14. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Bien. reposte un log hijackthis.

    Et dis moi où en sont tes problèmes de pop up.
    0
  15. dime78
     
    Logfile of HijackThis v1.99.1
    Scan saved at 18:38:02, on 18/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Salaat Time\SalaatTime.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {2F4BD691-22BE-48FE-B7FB-9E93A6472F06} - C:\WINDOWS\System32\ovxaymnt.dll
    O2 - BHO: (no name) - {484C7E93-23C5-43D1-AA75-768AE7764D28} - C:\WINDOWS\System32\jkkll.dll (file missing)
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
    O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Merci beaucoup blondin
    dans la vie ya ceux qui tiennent le pistolet et d'autres qui creusent ... toi tu tiens bien le pistolet

    c cool au niveau des pop up il semblerait que les pages intempestives soient éradiquées mais lorsque zonelabs est en marche, je n'arrive pas à me connecter à internet
    penses tu que je dois garder avg ou avast comme anti-virus?
    0
  16. blondin777 Messages postés 6162 Statut Contributeur 945
     
    mais lorsque zonelabs est en marche, je n'arrive pas à me connecter à internet

    Problème d'autorisation. Est il bien configuré? Sinon, changes et prends kerio.

    penses tu que je dois garder avg ou avast comme anti-virus?

    Les 2 parce que AVG est un anti spyware et Avast est un anti virus donc ils sont complémentaires.

    Merci beaucoup blondin
    dans la vie ya ceux qui tiennent le pistolet et d'autres qui creusent ... toi tu tiens bien le pistolet


    Bien vu;-)) . C'est effectivement de là qu'est inspiré mon pseudo.

    Mais dans ton dernier log, 2 fichiers me chiffonnent.

    Fais ça:

    Relances killbox

    sélectionne entièrement la liste ci-dessous :

    C:\WINDOWS\System32\ovxaymnt.dll
    C:\WINDOWS\System32\jkkll.dll


    ---> et tu fais clic droit / copier

    Ouvres killbox
    - Sélectionne "delete on reboot"
    - Clique sur le menu "File" -> "Past from clip board"
    - Clique sur All Files
    - Clique sur la croix rouge et et blanche
    - Répond yes et laisse redémarrer ton pc.

    NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

    Après redémarrage, relance Killbox puis clic sur l'onglet "fichier" -> Log -> Actions History Log
    Poste le rapport ici

    Dans hijackthis, coches et fixes ces lignes:

    O2 - BHO: (no name) - {2F4BD691-22BE-48FE-B7FB-9E93A6472F06} - C:\WINDOWS\System32\ovxaymnt.dll
    O2 - BHO: (no name) - {484C7E93-23C5-43D1-AA75-768AE7764D28} - C:\WINDOWS\System32\jkkll.dll (file missing)

    et repostes un log hijackthis.
    0
  17. dime78
     
    voilà les rapports

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:49 PM

    Killbox Closed(Exit) @ 4:52:46 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:52 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\system32\i

    # 2 [Delete on Reboot]
    Path = C:\WINDOWS\system32\mcrh.tmp

    # 3 [Delete on Reboot]
    Path = C:\WINDOWS\system32\x

    # 4 [Delete on Reboot]
    Path = C:\WINDOWS\system32\hqghumea.dll

    # 5 [Delete on Reboot]
    Path = C:\WINDOWS\Downloaded Program Files\CONFLICT.1

    # 6 [Delete on Reboot]
    Path = C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

    I Rebooted @ 4:54:03 PM
    Killbox Closed(Exit) @ 4:54:04 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:57 PM

    Killbox Closed(Exit) @ 4:58:49 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 9:34 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\System32\ovxaymnt.dll

    I Rebooted @ 9:35:32 PM
    Killbox Closed(Exit) @ 9:35:35 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 9:41 PM

    Logfile of HijackThis v1.99.1
    Scan saved at 21:44:41, on 18/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Salaat Time\SalaatTime.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
    O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe

    ? ça te dit quoi?
    0
  18. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Relances killbox pour effacer celui là:

    C:\WINDOWS\System32\jkkll.dll

    Ton log hijackthis est clean, sinon.

    On devrait pouvoir conclure au prochain post.
    0
  19. dime78
     
    voilà

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:49 PM

    Killbox Closed(Exit) @ 4:52:46 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:52 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\system32\i

    # 2 [Delete on Reboot]
    Path = C:\WINDOWS\system32\mcrh.tmp

    # 3 [Delete on Reboot]
    Path = C:\WINDOWS\system32\x

    # 4 [Delete on Reboot]
    Path = C:\WINDOWS\system32\hqghumea.dll

    # 5 [Delete on Reboot]
    Path = C:\WINDOWS\Downloaded Program Files\CONFLICT.1

    # 6 [Delete on Reboot]
    Path = C:\Program Files\DivX\Google\Firefox\ffinstaller.exe

    I Rebooted @ 4:54:03 PM
    Killbox Closed(Exit) @ 4:54:04 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 4:57 PM

    Killbox Closed(Exit) @ 4:58:49 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 9:34 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\System32\ovxaymnt.dll

    I Rebooted @ 9:35:32 PM
    Killbox Closed(Exit) @ 9:35:35 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 9:41 PM

    Killbox Closed(Exit) @ 9:42:50 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 11:00 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\System32\jkkll.dll

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:01:59 PM
    # 2 [Delete on Reboot]
    Path = C:\WINDOWS\System32\jkkll.dll

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:03:20 PM
    # 3 [Delete on Reboot]
    Path = C:\WINDOWS\System32\jkkll.dll

    PendingFileRenameOperations Registry Data has been Removed by External Process! @ 11:03:50 PM
    Killbox Closed(Exit) @ 11:03:52 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.881
    Running on Windows XP as horry(Administrator)
    was started @ dimanche, mars 18, 2007, 11:06 PM

    et re-voilà

    Logfile of HijackThis v1.99.1
    Scan saved at 23:07:55, on 18/03/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Salaat Time\SalaatTime.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB002" /M "Stylus C86"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SalaatTime] C:\Program Files\Salaat Time\SalaatTime.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: IpManager (IPtable) - Unknown owner - C:\WINDOWS\ipconfg32.exe (file missing)
    O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio Ozone\Install\Ozinst.exe

    merci

    alors???
    0
  20. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Eh bien c'est tout bon.

    Tu peux supprimer les fichiers de navilog1 qui ont été utilisés pour désinfecter ton ordinateur:

    * blbetac.exe
    * blbeta.exe
    * navilog1.bat
    * Process,exe
    * regnavi.reg
    * traiteregfsbl.bat
    * traitementfsbl.bat
    * le dossier backupnavi

    Ensuite tu fais:

    *Démarrer/Panneau de Configuration/Options Internet.
    *Choisis l'onglet Contenu puis onglet Certificats.
    *Si tu trouves les programmes suivant (en particulier dans Editeurs approuvés), supprime-les :
    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"

    Derniers conseils:

    ** télécharges « CCleaner »:
    https://www.01net.com/404/

    **Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :
    https://www.avg.com/en-ww/free-antivirus-download

    Son tuto (merci malekal_morte) : https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

    et passes les régulierement( mini 1 fois tous les 15 jours).

    Un scan en ligne de temps en temps n'est pas superflu non plus.

    A+
    0
    1. dime78
       
      mon pc est enfin nickel

      merci blondin pour tous tes conseils et ta disponibilité

      garde bien le pistolet au poing

      take care

      A+
      0
  21. blondin777 Messages postés 6162 Statut Contributeur 945
     
    Merci.

    A+
    0