Troj ageny gzu

Résolu
samuel 59 Messages postés 94 Statut Membre -  
samuel 59 Messages postés 94 Statut Membre -
bonjour tout le monde je suis tout nouveau sur le net et je vien detre infecte par un troj agent gzu et kaspersky narrive pas a le detruire pourriez vous maide sil vous plait
Configuration: Windows XP
Internet Explorer 7.0

92 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Une personne signale une infection par un cheval de Troie sur Windows XP et Internet Explorer 7 et cherche de l’aide lorsque les outils antivirus ne détectent pas tout. Des éléments de réponse proposent des approches variées, notamment désactiver puis recréer un point de restauration après infection, lancer un scan avec Panda ou d’autres antivirus, et traiter les fichiers suspects comme J:\TELECHARGER\install_igb.exe. D'autres conseils évoquent l'élimination d'éléments incompatibles avec les outils de sécurité et l'exclusion de cookies, tout en faisant preuve de prudence lors de la réactivation de la restauration et des interprétations des rapports.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonjour,

    peux tu donner la localisation de ton trojan stp ?
    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      bonjour et surtout merci de me preter un peu de votre temps il se trouve dans windows/system 32 vbkw jespere que c est la reponse que vous attendier
      0
  2. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    disons qu'il faudrait qq chose de clair.
    As tu le rapport de kaspersky ? si oui poste le stp
    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      je narrive pa a le copier jappui pourtant sur enregistrer sous
      0
    2. samuel 59 Messages postés 94 Statut Membre 1
       
      excuse moi c pas kapresky mais un scan de secuser . com qui, me la montrer kaper ne le voit meme pa
      0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    laisse tomber, on refera les analyses si besoin

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      voila lLogfile of HijackThis v1.99.1
      Scan saved at 17:54:34, on 19/03/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
      C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\vsnpstd.exe
      C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\Program Files\Winamp\winampa.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\MSMSGS.EXE
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {451E7216-FCFA-4A27-84C7-F3235EB13AB9} - C:\WINDOWS\system32\vturr.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: (no name) - {DC9B1C58-6B3C-4236-943B-486AA549F7C6} - C:\WINDOWS\system32\jkkljjh.dll
      O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
      O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
      O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
      O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe"
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\bpcdetke.dll",setvm
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O11 - Options group: [INTERNATIONAL] International*
      O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
      O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: jkkljjh - C:\WINDOWS\SYSTEM32\jkkljjh.dll
      O20 - Winlogon Notify: vturr - C:\WINDOWS\system32\vturr.dll
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
      e rapport
      merci encore
      0
  4. samuel 59 Messages postés 94 Statut Membre 1
     
    voila le rapport mais je ne sais pa sil apparait la
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    oui c'est parfait, il apparait, tu es infecté.

    * Télécharge VundoFix.exe (par Atribune) sur ton Bureau

    http://www.atribune.org/ccount/click.php?id=4

    * Double-clique VundoFix.exe afin de le lancer

    * Clique sur le bouton Scan for Vundo

    * Lorsque le scan est complété, clique sur le bouton Remove Vundo

    * Une invite te demandera si tu veux supprimer les fichiers, clique YES

    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    0
  7. samuel 59 Messages postés 94 Statut Membre 1
     
    le scan est en cour
    0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok à +
    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      voia les rapports VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 18:12:59 19/03/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\jkkljjh.dll
      C:\WINDOWS\system32\rrutv.bak1
      C:\WINDOWS\system32\rrutv.ini
      C:\WINDOWS\system32\rrutv.ini2
      C:\WINDOWS\system32\rrutv.tmp
      C:\WINDOWS\system32\vbkwejta.exe
      C:\WINDOWS\system32\vturr.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\jkkljjh.dll
      C:\WINDOWS\system32\jkkljjh.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.bak1
      C:\WINDOWS\system32\rrutv.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.ini
      C:\WINDOWS\system32\rrutv.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.ini2
      C:\WINDOWS\system32\rrutv.ini2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.tmp
      C:\WINDOWS\system32\rrutv.tmp Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vbkwejta.exe
      C:\WINDOWS\system32\vbkwejta.exe Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vturr.dll
      C:\WINDOWS\system32\vturr.dll Has been deleted!

      Performing Repairs to the registry.
      Done!


      ogfile of HijackThis v1.99.1
      Scan saved at 18:34:06, on 19/03/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
      C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\vsnpstd.exe
      C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Winamp\winampa.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\MSMSGS.EXE
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {451E7216-FCFA-4A27-84C7-F3235EB13AB9} - C:\WINDOWS\system32\vturr.dll (file missing)
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: (no name) - {DC9B1C58-6B3C-4236-943B-486AA549F7C6} - C:\WINDOWS\system32\jkkljjh.dll (file missing)
      O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
      O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
      O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
      O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe"
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\bpcdetke.dll",setvm
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O11 - Options group: [INTERNATIONAL] International*
      O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
      O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
      0
    2. samuel 59 Messages postés 94 Statut Membre 1
       
      il est super long ce rapport !!
      0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    je vais regarder ton rapport dans qq minutes
    je reviens ensuite
    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    j'ai un doute concernant ceci
    C:\APPS\DataSecure\PBBckupUI.exe
    connais tu ce programme ?

    * Relance Vundofix
    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle le fichier ci-dessous

    C:\WINDOWS\system32\bpcdetke.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix

    puis

    lance hijackthis pour un "scan seulement" puis coche ces lignes :

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: (no name) - {451E7216-FCFA-4A27-84C7-F3235EB13AB9} - C:\WINDOWS\system32\vturr.dll (file missing)
    O2 - BHO: (no name) - {DC9B1C58-6B3C-4236-943B-486AA549F7C6} - C:\WINDOWS\system32\jkkljjh.dll (file missing)
    O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe"
    O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\bpcdetke.dll",setvm
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    * ferme toutes les applications ouvertes y compris internet explorer et clique sur "fixer objet"

    puis

    via ajout et suppression de programme, supprime :

    DriveCleaner 2006 Free

    puis supprime le :

    C:\Program Files\Fichiers communs\DriveCleaner 2006 Free

    reposte le rapport de vundo, ainsi qu'un nouveau rapport hijackthis stp
    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      bonjour philea et tout les autres je commence le processus voila l 1 rapport VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 18:12:59 19/03/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\jkkljjh.dll
      C:\WINDOWS\system32\rrutv.bak1
      C:\WINDOWS\system32\rrutv.ini
      C:\WINDOWS\system32\rrutv.ini2
      C:\WINDOWS\system32\rrutv.tmp
      C:\WINDOWS\system32\vbkwejta.exe
      C:\WINDOWS\system32\vturr.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\jkkljjh.dll
      C:\WINDOWS\system32\jkkljjh.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.bak1
      C:\WINDOWS\system32\rrutv.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.ini
      C:\WINDOWS\system32\rrutv.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.ini2
      C:\WINDOWS\system32\rrutv.ini2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.tmp
      C:\WINDOWS\system32\rrutv.tmp Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vbkwejta.exe
      C:\WINDOWS\system32\vbkwejta.exe Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vturr.dll
      C:\WINDOWS\system32\vturr.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 20:26:16 19/03/2007

      Listing files found while scanning....

      No infected files were found.


      VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 09:37:38 20/03/2007

      Listing files found while scanning....

      No infected files were found.


      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\bpcdetke.dll
      C:\WINDOWS\system32\bpcdetke.dll Has been deleted!

      Performing Repairs to the registry.
      Done!
      0
    2. samuel 59 Messages postés 94 Statut Membre 1
       
      voila les 2 dernier rapport par contre jen ai as trouve drive clearner 2006 : Logfile of HijackThis v1.99.1
      Scan saved at 10:20:00, on 20/03/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16414)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
      C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\WINDOWS\vsnpstd.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\Program Files\Messenger\MSMSGS.EXE
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
      O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
      O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
      O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O11 - Options group: [INTERNATIONAL] International*
      O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

      et vundo

      VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 18:12:59 19/03/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\jkkljjh.dll
      C:\WINDOWS\system32\rrutv.bak1
      C:\WINDOWS\system32\rrutv.ini
      C:\WINDOWS\system32\rrutv.ini2
      C:\WINDOWS\system32\rrutv.tmp
      C:\WINDOWS\system32\vbkwejta.exe
      C:\WINDOWS\system32\vturr.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\jkkljjh.dll
      C:\WINDOWS\system32\jkkljjh.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.bak1
      C:\WINDOWS\system32\rrutv.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.ini
      C:\WINDOWS\system32\rrutv.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.ini2
      C:\WINDOWS\system32\rrutv.ini2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rrutv.tmp
      C:\WINDOWS\system32\rrutv.tmp Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vbkwejta.exe
      C:\WINDOWS\system32\vbkwejta.exe Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vturr.dll
      C:\WINDOWS\system32\vturr.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 20:26:16 19/03/2007

      Listing files found while scanning....

      No infected files were found.


      VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 09:37:38 20/03/2007

      Listing files found while scanning....

      No infected files were found.


      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\bpcdetke.dll
      C:\WINDOWS\system32\bpcdetke.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      VundoFix V6.3.17

      Checking Java version...

      Java version is 1.4.2.1
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.3
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.8
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 10:20:18 20/03/2007

      Listing files found while scanning....

      No infected files were found.

      0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonjour,

    O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN

    tu ne m'as pas répondu concernant ce programme. Le connais tu ?

    ensuite fait ceci pour vérif stp
    * Télécharge Blacklight
    https://europe.f-secure.com/exclude/blacklight/index.shtml
    (de F-Secure)
    (le premier de la page)

    Enregistre le sur ton Bureau.
    Double-clique blbeta.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next<*gras>

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log
    (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
    car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      excuse non je ne le connais pa mai moi jsuis pa comme vous jy connais rien en info ???? le rapport devundo et dans la reponse davan voila le dernier de blbtac 03/20/07 10:40:15 [Info]: BlackLight Engine 1.0.55 initialized
      03/20/07 10:40:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      03/20/07 10:40:16 [Note]: 7019 4
      03/20/07 10:40:16 [Note]: 7005 0
      03/20/07 10:40:16 [Note]: 7006 0
      03/20/07 10:40:16 [Note]: 7011 612
      03/20/07 10:40:16 [Note]: 7026 0
      03/20/07 10:40:16 [Note]: 7026 0
      03/20/07 10:40:16 [Note]: 7024 3
      03/20/07 10:40:16 [Info]: Hidden process: C:\windows\system32\igvorb.exe
      03/20/07 10:40:20 [Note]: FSRAW library version 1.7.1021
      03/20/07 10:40:30 [Note]: 7007 0
      0
  12. samuel 59 Messages postés 94 Statut Membre 1
     
    jen ai fait un deuxieme et voila 03/20/07 10:46:55 [Info]: BlackLight Engine 1.0.55 initialized
    03/20/07 10:46:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    03/20/07 10:46:55 [Note]: 7019 4
    03/20/07 10:46:55 [Note]: 7005 0
    03/20/07 10:46:55 [Note]: 7006 0
    03/20/07 10:46:55 [Note]: 7011 612
    03/20/07 10:46:55 [Note]: 7026 0
    03/20/07 10:46:55 [Note]: 7026 0
    03/20/07 10:46:55 [Note]: 7024 3
    03/20/07 10:46:55 [Info]: Hidden process: C:\windows\system32\igvorb.exe
    03/20/07 10:46:58 [Note]: FSRAW library version 1.7.1021
    03/20/07 10:47:55 [Info]: Hidden file: C:\windows\system32\igvorb.exe
    03/20/07 10:47:55 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\IGVORB.DAT
    03/20/07 10:47:56 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\IGVORB~1.DAT
    03/20/07 10:47:57 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\IGVORB~2.DAT
    03/20/07 10:48:00 [Note]: 2000 1012
    03/20/07 10:48:00 [Note]: 2000 1012
    03/20/07 10:48:00 [Note]: 2000 1012
    03/20/07 10:48:00 [Note]: 2000 1012
    03/20/07 10:48:00 [Note]: 7007 0
    mais je nai pa la commande rename
    0
  13. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok merci

    on continue, tjs infecté
    ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

    * Télécharge CCleaner

    http://www.filehippo.com/download_ccleaner.html

    ("Download Latest Version", sur la droite).

    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    * télécharge Brute Force Uninstaller

    http://www.merijn.org/files/bfu.zip

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://metallica.geekstogo.com/EGDACCESS.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * télécharge Navipromo.zip (par lazzzy)

    http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
    et décompresse-le sur ton bureau

    * Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

    https://forum.pcastuces.com/default.asp#haut

    à la lettre C

    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.

    * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
    * Sélectionne l'option "Recherche et suppression automatique". Patiente.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
    Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    * Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    * Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
    * Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    * Clique exit pour fermer le programme BFU.
    Recommence encore une fois

    * Démarrer -> panneau de configuration -> options internet

    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    => Supprime-les tous

    * lance Ccleaner pour un nettoyage complet.

    * redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    0
    1. samuel 59 Messages postés 94 Statut Membre 1
       
      jai telecharger brutes je le decompresse mai que veux dire scriptfile to execute ques ce que je doit inscrire
      0
  14. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    regarde ici
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902

    chapitre H
    ne tient pas compte des noms la manip sera la même
    si tu suis ce que j'ai écrit après avoir pris soin de l'imprimer, tu verras que c'est très simple
    0
  15. samuel 59 Messages postés 94 Statut Membre 1
     
    jai compri tou vabien je par en mode sans echec et je revien a plus
    0
  16. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok à plus tard
    0
  17. samuel 59 Messages postés 94 Statut Membre 1
     
    me revoila voici le rapportRapport Navipromo.bat 0.71 effectué le 20/03/2007 à 11:59:54,10
    L'opération se déroule en mode sans échec sous le compte "moi"

    ** Recherche...

    1/ igvorb trouvé, recherche de igvorb*
    C:\WINDOWS\system32\igvorb.exe
    C:\WINDOWS\system32\igvorb.dat
    C:\WINDOWS\system32\igvorb_nav.dat
    C:\WINDOWS\system32\igvorb_navps.dat
    C:\WINDOWS\prefetch\IGVORB.EXE-0BA61B9E.pf

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    igvorb REG_SZ c:\windows\system32\igvorb.exe igvorb

    ------------------
    2/ xqayuekht trouvé, recherche de xqayuekht*
    C:\WINDOWS\system32\xqayuekht.dat
    C:\WINDOWS\system32\xqayuekht_nav.dat

    ------------------
    Fin du rapport de recherche
    Adware Navipromo trouvé 2 fois avec cette méthode

    ################################################

    ** Nettoyage...

    1/ Déplacement de igvorb* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\igvorb* déplacé avec succès !
    C:\WINDOWS\prefetch\igvorb* déplacé avec succès

    ------------------
    2/ Déplacement de xqayuekht* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\xqayuekht* déplacé avec succès !

    ------------------
    * Suppression clés et valeurs de registre
    1 entrées de registre netttoyées

    * Backups :

    C:\Navipromo\Backups\HKLMRun.reg
    C:\Navipromo\Backups\HKCURun.reg
    C:\Navipromo\Backups\Uninstall.reg
    C:\Navipromo\Backups\ARPCache.reg
    C:\Navipromo\Backups\igvorb.exe
    C:\Navipromo\Backups\igvorb.dat
    C:\Navipromo\Backups\igvorb_nav.dat
    C:\Navipromo\Backups\igvorb_navps.dat
    C:\Navipromo\Backups\IGVORB.EXE-0BA61B9E.pf
    C:\Navipromo\Backups\xqayuekht.dat
    C:\Navipromo\Backups\xqayuekht_nav.dat
    C:\Navipromo\Backups\pack.epk

    Ajout d'extension .off aux backups

    ## Fin du rapport de Suppression

    -------------

    Rapport Navipromo.bat 0.72 effectué le 20/03/2007 à 12:01:01,75
    L'opération se déroule en mode sans échec sous le compte "moi"

    ## Suppression Heuristique

    * Backups :

    Aucun résultat par la recherche heuristique

    ## Fin du rapport Heuristique

    -------------

    sinon aucun souci tes explication sont on ne peux plu s claires alors maintenant l infection est fini jespere voila le rapport au redemarage
    Rapport Navipromo.bat 0.71 effectué le 20/03/2007 à 11:59:54,10
    L'opération se déroule en mode sans échec sous le compte "moi"

    ** Recherche...

    1/ igvorb trouvé, recherche de igvorb*
    C:\WINDOWS\system32\igvorb.exe
    C:\WINDOWS\system32\igvorb.dat
    C:\WINDOWS\system32\igvorb_nav.dat
    C:\WINDOWS\system32\igvorb_navps.dat
    C:\WINDOWS\prefetch\IGVORB.EXE-0BA61B9E.pf

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    igvorb REG_SZ c:\windows\system32\igvorb.exe igvorb

    ------------------
    2/ xqayuekht trouvé, recherche de xqayuekht*
    C:\WINDOWS\system32\xqayuekht.dat
    C:\WINDOWS\system32\xqayuekht_nav.dat

    ------------------
    Fin du rapport de recherche
    Adware Navipromo trouvé 2 fois avec cette méthode

    ################################################

    ** Nettoyage...

    1/ Déplacement de igvorb* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\igvorb* déplacé avec succès !
    C:\WINDOWS\prefetch\igvorb* déplacé avec succès

    ------------------
    2/ Déplacement de xqayuekht* vers C:\Navipromo\Backups...
    C:\WINDOWS\System32\xqayuekht* déplacé avec succès !

    ------------------
    * Suppression clés et valeurs de registre
    1 entrées de registre netttoyées

    * Backups :

    C:\Navipromo\Backups\HKLMRun.reg
    C:\Navipromo\Backups\HKCURun.reg
    C:\Navipromo\Backups\Uninstall.reg
    C:\Navipromo\Backups\ARPCache.reg
    C:\Navipromo\Backups\igvorb.exe
    C:\Navipromo\Backups\igvorb.dat
    C:\Navipromo\Backups\igvorb_nav.dat
    C:\Navipromo\Backups\igvorb_navps.dat
    C:\Navipromo\Backups\IGVORB.EXE-0BA61B9E.pf
    C:\Navipromo\Backups\xqayuekht.dat
    C:\Navipromo\Backups\xqayuekht_nav.dat
    C:\Navipromo\Backups\pack.epk

    Ajout d'extension .off aux backups

    ## Fin du rapport de Suppression

    -------------

    Rapport Navipromo.bat 0.72 effectué le 20/03/2007 à 12:01:01,75
    L'opération se déroule en mode sans échec sous le compte "moi"

    ## Suppression Heuristique

    * Backups :

    Aucun résultat par la recherche heuristique

    ## Fin du rapport Heuristique

    -------------

    Rapport Navipromo.bat 0.71 effectué le 20/03/2007 à 12:27:15,12
    -- Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés

    ** Recherche...

    Fin du rapport de recherche
    Adware Navipromo non trouvé avec cette méthode

    Engagement de la méthode Heuristique

    Rapport Navipromo.bat 0.72 effectué le 20/03/2007 à 12:27:15,34
    Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés

    ## Suppression Heuristique

    * Backups :

    Aucun résultat par la recherche heuristique

    ## Fin du rapport Heuristique
    0
  18. samuel 59 Messages postés 94 Statut Membre 1
     
    spylbolt me dit que jai toujour un truc microsoft windows security center et un avenue A inc kezako ca!!!!
    0
  19. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    spylbolt me dit que jai toujour un truc microsoft windows security center et un avenue A inc kezako ca!!!!


    tu peux me donner plus d'indication stp.
    Reposte un nouveau rapport hijackthis et fait un scan antivirus en ligne
    * Fait un scan antivirus en ligne Panda et copie colle le résultat ici
    (désactive ton antivirus le temps du scan stp)

    https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm

    * tuto en image
    https://forum.pcastuces.com/default.asp#haut

    à la lettre T

    0
  20. samuel 59 Messages postés 94 Statut Membre 1
     
    voila les rapports

    Incident Statut Analyse

    Spyware:Spyware/Virtumonde No Désinfecté C:\VundoFix Backups\bpcdetke.dll .bad
    Virus:W32/Sdbot.GRS.worm Désinfecté C:\WINDOWS\SYSTEM32\72502.EXE
    Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\MOI\Cookies\moi@atdmt[1].txt
    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\MOI\Cookies\moi@xiti[1].txt
    Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\MOI\Cookies\moi@247realmedia[1].txt
    Virus:Eicar.Mod Renommé C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\eicar.html
    Adware:Adware/NaviPromo No Désinfecté C:\Navipromo\Backups\igvorb.exe.off

    Logfile of HijackThis v1.99.1
    Scan saved at 14:33:21, on 20/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\winampa.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
    0
  21. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    alors, on avance

    supprime
    C:\VundoFix
    C:\Navipromo

    vide ta corbeille

    y a toujours ceci :
    O4 - HKCU\..\Run: [Data Secure] C:\APPS\DataSecure\PBBckupUI.exe /HIDDEN
    vu que je ne sais pas trop ce que c'est tu vas aller voir chez virustotal pour analyser stp

    http://www.virustotal.com/en/indexf.html

    * Colle dans la case à gauche de "parcourir" :
    C:\APPS\DataSecure\PBBckupUI.exe

    * clique ensuite sur "send". Il faut patienter car tu es sur une file d'attente.
    Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

    Dépose le dans ta réponse.

    ton pc devrait respirer non maintenant ?

    0
  • 1
  • 2
  • 3
  • 4
  • 5