Virus/Adware: Drivecleaner

Hacik -  
 Hacik -
Bonjour,

Je suis victime d'un virus ou adware (je ne sais pas très bien).
Il me semble qu'il s'appelle "Drivecleaner".

Si qq'un pouvait m'aider à me débarasser de cette saloperie ce serait super.

D'avance merci.

J'ai fait une recherche avec navilog1 et voici ce que j'obtiens.

Search Navipromo version 1.1.5 commencé le ven. 20/04/2007 à 10:12:12,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Ha‡ik Toruslu\Desktop\navilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Ha‡ik Toruslu\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/20/07 at 10:12:18.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/20/07 at 10:24:47 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\adccf.bak1 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

*** Analyse Terminé le ven. 20/04/2007 à 10:25:10,85 ***
Configuration: Windows XP
Internet Explorer 7.0

6 réponses

  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
    http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
    1. Hacik
       
      Salut Papyber,

      Merci pour ton aide.

      Voici le résultat:

      Rapport GenProc 0.46 [1] effectué le sam. 21/04/2007 à 4:37:28,13 - SystemRoot = C:\WINDOWS

      # Etape 1/ Télécharge :

      - CCleaner http://www.filehippo.com/download_ccleaner.html ("Download Latest Version", sur la droite).
      Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

      - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau


      ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Haçik Toruslu") *****


      # Etape 2/

      Double-clique VundoFix.exe afin de le lancer
      Clique sur le bouton Scan for Vundo
      Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
      Une invite te demandera si tu veux supprimer les fichiers, clique YES
      Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
      Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

      Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

      # Etape 3/

      Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

      # Etape 4/

      Redémarre normalement et poste :
      - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
      - Le contenu du rapport situé dans C:\vundofix.txt ;


      Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
      0
  2. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu fais très exactement ce que demande GenProc et tu postes les rapports
    0
    1. Hacik
       
      Salut Papyber,

      J'ai fait ce qui est demandé et voici les rapports:


      RAPPORT VUNDO

      VundoFix V6.3.19

      Checking Java version...

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 19:32:48 19/04/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\amltqrcb.dll
      C:\WINDOWS\system32\dcdluxvn.dll
      C:\WINDOWS\system32\lllnn.bak1
      C:\WINDOWS\system32\lllnn.bak2
      C:\WINDOWS\system32\lllnn.ini
      C:\WINDOWS\system32\nnlll.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\amltqrcb.dll
      C:\WINDOWS\system32\amltqrcb.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\dcdluxvn.dll
      C:\WINDOWS\system32\dcdluxvn.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\lllnn.bak1
      C:\WINDOWS\system32\lllnn.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\lllnn.bak2
      C:\WINDOWS\system32\lllnn.bak2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\lllnn.ini
      C:\WINDOWS\system32\lllnn.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\nnlll.dll
      C:\WINDOWS\system32\nnlll.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      VundoFix V6.3.19

      Checking Java version...

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 12:45:17 21/04/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\adccf.bak1
      C:\WINDOWS\system32\adccf.bak2
      C:\WINDOWS\system32\adccf.ini
      C:\WINDOWS\system32\fccda.dll
      C:\WINDOWS\system32\htxduyge.dll
      C:\WINDOWS\system32\mjniksjc.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\adccf.bak1
      C:\WINDOWS\system32\adccf.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\adccf.bak2
      C:\WINDOWS\system32\adccf.bak2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\adccf.ini
      C:\WINDOWS\system32\adccf.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\fccda.dll
      C:\WINDOWS\system32\fccda.dll Could not be deleted.

      Attempting to delete C:\WINDOWS\system32\htxduyge.dll
      C:\WINDOWS\system32\htxduyge.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\mjniksjc.dll
      C:\WINDOWS\system32\mjniksjc.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\adccf.ini
      C:\WINDOWS\system32\adccf.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\fccda.dll
      C:\WINDOWS\system32\fccda.dll Has been deleted!

      Performing Repairs to the registry.
      Done!




      RAPPORT HIJACK

      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 13:05:57, on 21/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\S24EvMon.exe
      C:\WINDOWS\system32\ZCfgSvc.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\wltrysvc.exe
      C:\WINDOWS\System32\bcmwltry.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\1XConfig.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\WLTRAY.exe
      C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
      C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
      C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\RegSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Haçik Toruslu\Desktop\HiJackThis_v2.exe
      \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.20.2:8080
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\enhhrslb.dll
      O2 - BHO: (no name) - {37C8341A-1544-436B-8C7C-04F37043B1CA} - C:\WINDOWS\system32\fccda.dll (file missing)
      O2 - BHO: (no name) - {52FFC95A-A349-49AD-BE27-8C08F87D51E8} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\jkkjkkh.dll (file missing)
      O2 - BHO: (no name) - {D1473415-F487-4551-BCDF-3441C0D27118} - C:\WINDOWS\system32\nnlll.dll (file missing)
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
      O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
      O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
      O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
      O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S
      O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
      O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.69.25.47.76.downloads.estara.com./as/OneCCDM.php?template=86715&sessionid=771133339_83.182.157.231_61107&=&req=1164057791606OneCC.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O20 - Winlogon Notify: jkkjkkh - jkkjkkh.dll (file missing)
      O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
      O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
      0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    vundo est souvent récalcitrant
    il en reste donc tu fais ceci en suivant bien les consignes
    Relance Vundofix

    http://www.atribune.org/ccount/click.php?id=4

    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\system32\enhhrslb.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis
    0
    1. Hacik
       
      Voilà c'est fait.

      Ci-dessous les 2 rapports:


      VundoFix V6.3.19

      Checking Java version...

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 19:32:48 19/04/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\amltqrcb.dll
      C:\WINDOWS\system32\dcdluxvn.dll
      C:\WINDOWS\system32\lllnn.bak1
      C:\WINDOWS\system32\lllnn.bak2
      C:\WINDOWS\system32\lllnn.ini
      C:\WINDOWS\system32\nnlll.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\amltqrcb.dll
      C:\WINDOWS\system32\amltqrcb.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\dcdluxvn.dll
      C:\WINDOWS\system32\dcdluxvn.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\lllnn.bak1
      C:\WINDOWS\system32\lllnn.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\lllnn.bak2
      C:\WINDOWS\system32\lllnn.bak2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\lllnn.ini
      C:\WINDOWS\system32\lllnn.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\nnlll.dll
      C:\WINDOWS\system32\nnlll.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      VundoFix V6.3.19

      Checking Java version...

      Java version is 1.5.0.6
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.9
      Old versions of java are exploitable and should be removed.

      Java version is 1.5.0.10

      Java version is 1.5.0.11

      Scan started at 12:45:17 21/04/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\adccf.bak1
      C:\WINDOWS\system32\adccf.bak2
      C:\WINDOWS\system32\adccf.ini
      C:\WINDOWS\system32\fccda.dll
      C:\WINDOWS\system32\htxduyge.dll
      C:\WINDOWS\system32\mjniksjc.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\adccf.bak1
      C:\WINDOWS\system32\adccf.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\adccf.bak2
      C:\WINDOWS\system32\adccf.bak2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\adccf.ini
      C:\WINDOWS\system32\adccf.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\fccda.dll
      C:\WINDOWS\system32\fccda.dll Could not be deleted.

      Attempting to delete C:\WINDOWS\system32\htxduyge.dll
      C:\WINDOWS\system32\htxduyge.dll Has been deleted!

      Attempting to delete C:\WINDOWS\system32\mjniksjc.dll
      C:\WINDOWS\system32\mjniksjc.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\adccf.ini
      C:\WINDOWS\system32\adccf.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\fccda.dll
      C:\WINDOWS\system32\fccda.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\enhhrslb.dll
      C:\WINDOWS\system32\enhhrslb.dll Has been deleted!

      Performing Repairs to the registry.
      Done!



      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 14:45:12, on 21/04/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\S24EvMon.exe
      C:\WINDOWS\system32\ZCfgSvc.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\wltrysvc.exe
      C:\WINDOWS\System32\bcmwltry.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\1XConfig.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\WLTRAY.exe
      C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
      C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
      C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\RegSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Haçik Toruslu\Desktop\HiJackThis_v2.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.20.2:8080
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\enhhrslb.dll (file missing)
      O2 - BHO: (no name) - {37C8341A-1544-436B-8C7C-04F37043B1CA} - C:\WINDOWS\system32\fccda.dll (file missing)
      O2 - BHO: (no name) - {52FFC95A-A349-49AD-BE27-8C08F87D51E8} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\jkkjkkh.dll (file missing)
      O2 - BHO: (no name) - {D1473415-F487-4551-BCDF-3441C0D27118} - C:\WINDOWS\system32\nnlll.dll (file missing)
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
      O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
      O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
      O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
      O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program Files\SpeedswitchXP\SpeedswitchXP.exe
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S
      O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
      O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.69.25.47.76.downloads.estara.com./as/OneCCDM.php?template=86715&sessionid=771133339_83.182.157.231_61107&=&req=1164057791606OneCC.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O20 - Winlogon Notify: jkkjkkh - jkkjkkh.dll (file missing)
      O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
      O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
      0
  4. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    lance hijack pour un scan et coche les lignes suivantes

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\enhhrslb.dll (file missing)
    O2 - BHO: (no name) - {37C8341A-1544-436B-8C7C-04F37043B1CA} - C:\WINDOWS\system32\fccda.dll (file missing)
    O2 - BHO: (no name) - {52FFC95A-A349-49AD-BE27-8C08F87D51E8} - (no file
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\jkkjkkh.dll (file missing)
    O2 - BHO: (no name) - {D1473415-F487-4551-BCDF-3441C0D27118} - C:\WINDOWS\system32\nnlll.dll (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab
    O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.69.25.47.76.downloads.estara.com./.
    O20 - Winlogon Notify: jkkjkkh - jkkjkkh.dll (file missing)

    ferme toutes tes fenêtres y compris internet et clic sur fixer l'objet

    · Télécharge Brute Force Uninstaller (de Merjin)
    http://www.merijn.org/files/bfu.zip
    et décompresse-le dans un dossier propre à lui (C:\BFU).
    Fais un clic droit de souris sur ce lien :
    http://metallica.geekstogo.com/EGDACCESS.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).

    · télécharge Winsoftware.bfu en faisant un clic droit sur le lien et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
    afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".
    http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu
    Sauvegarde dans le dossier créé (c:\BFU)
    · Télécharge Navipromo.zip (de Lazzzy)
    · http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip
    et décompresse-le sur ton bureau.

    · Copie la suite des instructions dans un fichier texte, sur ton bureau et Redémarre en mode sans échec
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.
    Lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

    · Options :

    Sélectionne l'option "Recherche et suppression automatique". Patiente.
    ·
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé puis valide en appuyant sur Entrée.
    ·
    Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.

    Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.

    Recommence encore une fois l'éxécution du script Egdaccess.BFU

    Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    Clique exit pour fermer le programme BFU.

    Recommence encore une fois

    Démarrer -> panneau de configuration -> options internet.
    o Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd

    Supprime-les tous.

    Redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
    0
    1. Hacik
       
      Encore merci pour le suivi.

      J'ai fait tout ce qui était demandé.
      Je n'ai juste pas accès à http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

      IExplorer bloque le site.
      Probablement un paramètre de sécurité que je devrai enlever.
      J'ai qd même retrouvé ce fichier grâce à google sur un autre site ou j'ai accès.

      J'ai effectué toutes les opérations et voici le rapport :

      Rapport Navipromo.bat 0.73 effectué le sam. 21/04/2007 à 16:34:57,45
      C:\Documents and Settings\Ha‡ik Toruslu\Desktop
      L'opération se déroule en mode sans échec sous le compte "Ha‡ik Toruslu"

      ** Recherche...

      Fin du rapport de recherche
      Adware Navipromo non trouvé avec cette méthode

      Engagement de la méthode Heuristique

      Rapport Navipromo.bat 0.73 effectué le sam. 21/04/2007 à 16:34:57,81
      L'opération se déroule en mode sans échec sous le compte "Ha‡ik Toruslu"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.73 effectué le sam. 21/04/2007 à 16:36:18,38
      L'opération se déroule en mode sans échec sous le compte "Ha‡ik Toruslu"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique
      0
    2. Hacik
       
      Ah oui,

      je n'ai pas trouvé de Certificats pour éditeurs approuvés :

      electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    as tu encore des soucis?
    faire un scan antivirus en ligne avec internet explorer et accepter l'activex
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur I agree
    La fenêtre change encore, clique sur Click here to scan
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    poste le rapport en mode txt stp
    0
    1. Hacik
       
      J'ai l'impression que mon problème est résolu car je n'ai plus de Pop-up.

      Mais Bidefender a quand même encore trouvé des virus.

      Voir le rapport:

      BitDefender Online Scanner



      Rapport d'analyse généré à: Sat, Apr 21, 2007 - 20:55:29





      Voie d'analyse: C:\;D:\;







      Statistiques

      Temps
      01:22:48

      Fichiers
      527585

      Directoires
      4522

      Secteurs de boot
      2

      Archives
      2058

      Paquets programmes
      84269




      Résultats

      Virus identifiés
      5

      Fichiers infectés
      20

      Fichiers suspects
      0

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      20




      Info sur les moteurs

      Définition virus
      487229

      Version des moteurs
      AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

      Analyse des plugins
      14

      Archive des plugins
      38

      Unpack des plugins
      6

      E-mail plugins
      6

      Système plugins
      1




      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      *;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui




      Fichier analysé
      Statut

      C:\Documents and Settings\Haçik Toruslu\Local Settings\Temporary Internet Files\Content.IE5\1HCIUS29\allochtone[1]
      Infecté par: Exploit.ADODB.Stream.EU

      C:\Documents and Settings\Haçik Toruslu\Local Settings\Temporary Internet Files\Content.IE5\1HCIUS29\allochtone[1]
      Echec de la désinfection

      C:\Documents and Settings\Haçik Toruslu\Local Settings\Temporary Internet Files\Content.IE5\1HCIUS29\allochtone[1]
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025146.dll
      Infecté par: Trojan.Vundo.AN

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025146.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025146.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025147.dll
      Infecté par: Trojan.Vundo.AN

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025147.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025147.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025148.dll
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025148.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025148.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025207.dll
      Infecté par: MemScan:Trojan.Vundo.DLM

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025207.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025207.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025208.dll
      Infecté par: MemScan:Trojan.Vundo.DLM

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025208.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025208.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025513.dll
      Infecté par: Trojan.Vundo.AN

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025513.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025513.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025514.dll
      Infecté par: Trojan.Vundo.AN

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025514.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025514.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025523.dll
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025523.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP199\A0025523.dll
      Supprimé

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP200\A0025538.dll
      Infecté par: Trojan.Vundo.AO

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP200\A0025538.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9FCAC59-9AE8-4638-87C4-1942E4D45718}\RP200\A0025538.dll
      Supprimé

      C:\VundoFix Backups\amltqrcb.dll.bad
      Infecté par: Trojan.Vundo.AN

      C:\VundoFix Backups\amltqrcb.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\amltqrcb.dll.bad
      Supprimé

      C:\VundoFix Backups\dcdluxvn.dll.bad
      Infecté par: Trojan.Vundo.AN

      C:\VundoFix Backups\dcdluxvn.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\dcdluxvn.dll.bad
      Supprimé

      C:\VundoFix Backups\enhhrslb.dll.bad
      Infecté par: Trojan.Vundo.AO

      C:\VundoFix Backups\enhhrslb.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\enhhrslb.dll.bad
      Supprimé

      C:\VundoFix Backups\fccda.dll.bad
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\VundoFix Backups\fccda.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\fccda.dll.bad
      Supprimé

      C:\VundoFix Backups\htxduyge.dll.bad
      Infecté par: Trojan.Vundo.AN

      C:\VundoFix Backups\htxduyge.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\htxduyge.dll.bad
      Supprimé

      C:\VundoFix Backups\mjniksjc.dll.bad
      Infecté par: Trojan.Vundo.AN

      C:\VundoFix Backups\mjniksjc.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\mjniksjc.dll.bad
      Supprimé

      C:\VundoFix Backups\nnlll.dll.bad
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\VundoFix Backups\nnlll.dll.bad
      Echec de la désinfection

      C:\VundoFix Backups\nnlll.dll.bad
      Supprimé

      C:\WINDOWS\system32\khhfg.dll
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\WINDOWS\system32\khhfg.dll
      Echec de la désinfection

      C:\WINDOWS\system32\khhfg.dll
      Supprimé

      C:\WINDOWS\system32\pmkkl.dll
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\WINDOWS\system32\pmkkl.dll
      Echec de la désinfection

      C:\WINDOWS\system32\pmkkl.dll
      Supprimé

      C:\WINDOWS\system32\tuvuv.dll
      Infecté par: MemScan:Trojan.Vundo.AP

      C:\WINDOWS\system32\tuvuv.dll
      Echec de la désinfection

      C:\WINDOWS\system32\tuvuv.dll
      Supprimé
      0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    c'est tout bon
    supprime vundofix
    passe ccleaner pour vider tes fichiers temporaires et tes cookies
    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration

    si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
    conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
    j'ai découvert ce lien qui est plutôt pas mal à ce sujet
    https://forum.pcastuces.com/default.asp

    et bon surf
    0
    1. Hacik
       
      Encore merci pour ton aide.

      C'est super cool.

      T'as raison, c'est un crack qui est à l'origine de mes soucis.
      Je ferais gaffe à l'avenir.

      Passe un excellent dimanche.
      0