[virus] infectée par Win32/Rustock.gen!C
Résolu
magaeden
Messages postés
24
Statut
Membre
-
magaeden Messages postés 24 Statut Membre -
magaeden Messages postés 24 Statut Membre -
salut à tous!
j'ai un gros problème: il s'appelle:Win32/Rustock.gen!C
ce virus me pose de gros problèmes sur mon pc!
je sais qu'on va me répondre que ce problème a déjà été traité plusieurs fois mais tous ces rapports d'analyse: pour moi, c'est du chinois!
y aurait-il une ame charitable pour m'aider à virer ce virus à la con!
please please please
merci d'avance de vous pencher sur mon probleme!
mag
j'ai un gros problème: il s'appelle:Win32/Rustock.gen!C
ce virus me pose de gros problèmes sur mon pc!
je sais qu'on va me répondre que ce problème a déjà été traité plusieurs fois mais tous ces rapports d'analyse: pour moi, c'est du chinois!
y aurait-il une ame charitable pour m'aider à virer ce virus à la con!
please please please
merci d'avance de vous pencher sur mon probleme!
mag
A voir également:
- [virus] infectée par Win32/Rustock.gen!C
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
- Undisclosed-recipients virus - Guide
14 réponses
Bonsoir,
Télécharge ce fichier (par ejvindh) sur ton bureau:
http://www.uploads.ejvindh.net/rustbfix.exe
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
a+
Télécharge ce fichier (par ejvindh) sur ton bureau:
http://www.uploads.ejvindh.net/rustbfix.exe
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
a+
re,
1) télécharge reanimator sur ton bureau!
http://greatis.com/reanimator.zip
dézippe le!
Open reanimator.exe.
Click on the "Remove Rustock Rootkit".
You will be prompted for using "RootkitNO" utility.
Run it!
You will be prompted to restart your computer.
After restarting the Rustock file will be removed using Partizan.
After finishing removal process you may remove Partizan from your Windows boot.
Click on the "UnInstall Partizan" button.
Also you can delete "RootkitNo" folder from your drive where installed the Windows.
2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
a+
1) télécharge reanimator sur ton bureau!
http://greatis.com/reanimator.zip
dézippe le!
Open reanimator.exe.
Click on the "Remove Rustock Rootkit".
You will be prompted for using "RootkitNO" utility.
Run it!
You will be prompted to restart your computer.
After restarting the Rustock file will be removed using Partizan.
After finishing removal process you may remove Partizan from your Windows boot.
Click on the "UnInstall Partizan" button.
Also you can delete "RootkitNo" folder from your drive where installed the Windows.
2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
a+
re
c'est assez simple!
regarde ici:
https://forum.pcastuces.com/sujet.asp?f=25&s=31104
a+
c'est assez simple!
regarde ici:
https://forum.pcastuces.com/sujet.asp?f=25&s=31104
a+
excuse moi ai été trop rapide!
voici le rapport:
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\CP1041.NLS - Deleted
C:\Documents and Settings\cyrille.PERSO-UFLJY9560\Local Settings\Temp\2.dllb - Deleted
C:\Documents and Settings\cyrille.PERSO-UFLJY9560\Local Settings\Temp\6.dllb - Deleted
C:\Documents and Settings\cyrille.PERSO-UFLJY9560\Local Settings\Temp\7.dllb - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp\MsnPUpld.dll - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp\MsnPUpld.inf - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp\PURen-us.dll - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\setup.exe - Deleted
C:\WINDOWS\odbc.INI - Deleted
C:\WINDOWS\system32\0_exception.nls - Deleted
Folder C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp - Removed
Removing Temp Files
ADS Check:
Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.
Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Final Check:
Remaining Services:
------------------
Remaining Files:
---------------
Backups Folder: - C:\DOCUME~1\mag\Bureau\sdfix\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes:
C:\Documents and Settings\mag\Application Data\Microsoft\Word\~WRL0004.tmp
C:\Documents and Settings\mag\Application Data\Microsoft\Word\~WRL0005.tmp
C:\Documents and Settings\mag\Bureau\Mag\divers\Courriers\~WRL0459.tmp
C:\Program Files\Google\Google Desktop Search(2)\BIT2F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\477567f76064f38dd027f4ab2c2475db\BIT50.tmp
Finished
voici le rapport:
Rebooting...
Normal Mode:
Checking Files:
Below files will be copied to Backups folder then removed:
C:\CP1041.NLS - Deleted
C:\Documents and Settings\cyrille.PERSO-UFLJY9560\Local Settings\Temp\2.dllb - Deleted
C:\Documents and Settings\cyrille.PERSO-UFLJY9560\Local Settings\Temp\6.dllb - Deleted
C:\Documents and Settings\cyrille.PERSO-UFLJY9560\Local Settings\Temp\7.dllb - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp\MsnPUpld.dll - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp\MsnPUpld.inf - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp\PURen-us.dll - Deleted
C:\DOCUME~1\mag\LOCALS~1\Temp\setup.exe - Deleted
C:\WINDOWS\odbc.INI - Deleted
C:\WINDOWS\system32\0_exception.nls - Deleted
Folder C:\DOCUME~1\mag\LOCALS~1\Temp\ICD1.tmp - Removed
Removing Temp Files
ADS Check:
Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.
Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.
Final Check:
Remaining Services:
------------------
Remaining Files:
---------------
Backups Folder: - C:\DOCUME~1\mag\Bureau\sdfix\SDFix\backups\backups.zip
Checking For Files with Hidden Attributes:
C:\Documents and Settings\mag\Application Data\Microsoft\Word\~WRL0004.tmp
C:\Documents and Settings\mag\Application Data\Microsoft\Word\~WRL0005.tmp
C:\Documents and Settings\mag\Bureau\Mag\divers\Courriers\~WRL0459.tmp
C:\Program Files\Google\Google Desktop Search(2)\BIT2F.tmp
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\477567f76064f38dd027f4ab2c2475db\BIT50.tmp
Finished
bonsoir,
télécharge HijackThis:
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial:
http://pchelpbordeaux.free.fr/tuto.html
Démo en image:
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Fais un scan et poste l'analyse.
a+
télécharge HijackThis:
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial:
http://pchelpbordeaux.free.fr/tuto.html
Démo en image:
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Fais un scan et poste l'analyse.
a+
ok merci d'être toujours là! voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 22:14:18, on 29/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Extrafilm FotoFacil\Agent.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\mag\Bureau\hijackthis vf\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e3b947db14d4b4998b793042ed1c9f5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e3b947db14d4b4998b793042ed1c9f5
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Logfile of HijackThis v1.99.1
Scan saved at 22:14:18, on 29/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Extrafilm FotoFacil\Agent.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\mag\Bureau\hijackthis vf\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e3b947db14d4b4998b793042ed1c9f5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e3b947db14d4b4998b793042ed1c9f5
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re,
Télécharge ComboFix (par sUBs) d'un de ces liens sur ton bureau:
http://www.techsupportforum.com/sectools/combofix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites
Poste le rapport!
a+
Télécharge ComboFix (par sUBs) d'un de ces liens sur ton bureau:
http://www.techsupportforum.com/sectools/combofix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites
Poste le rapport!
a+
rapport combofix:
ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\mag\Bureau\combofix\"
/wow section - STAGE #3
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Documents and Settings\All Users.\documents\settings\desktop.ini
C:\DOCUME~1\mag\Bureau.\internet explorer.lnk
C:\install.log
C:\Documents and Settings\All Users.\documents\settings
((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\nm
((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-29 ))))))))))))))))))))))))))))))))))
2007-04-28 14:19 22,528 --a------ C:\WINDOWS\system32\Partizan.exe
2007-04-28 14:19 <REP> d----c--- C:\RootkitNO
2007-04-27 23:36 96 --a--c--- C:\avexport.bat
2007-04-27 23:36 60,416 --a------ C:\WINDOWS\system32\drivers\wbpkxvxx.sys
2007-04-27 23:36 336 --a--c--- C:\reboot.bat
2007-04-27 23:36 19,814 --a--c--- C:\reboot.exe
2007-04-27 23:36 126,976 --a--c--- C:\zip.exe
2007-04-27 23:36 1,080 --a--c--- C:\kvibwmnq.bat
2007-04-27 23:36 <REP> d----c--- C:\Rustbfix
2007-04-27 23:36 <REP> d----c--- C:\Avenger
2007-04-26 21:48 90,357 --a------ C:\WINDOWS\system32\drivers\P1110Vid.sys
2007-04-26 21:48 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2007-04-26 21:48 73,728 --a------ C:\WINDOWS\ctdrvins.exe
2007-04-26 21:48 69,632 --a------ C:\WINDOWS\system32\P1110Sti.dll
2007-04-26 21:48 65,536 --a------ C:\WINDOWS\system32\CtCamMgr.dll
2007-04-26 21:48 50,688 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-04-26 21:48 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2007-04-26 21:48 40,960 --a------ C:\WINDOWS\system32\P1110hwx.dll
2007-04-26 21:48 40,960 --a------ C:\WINDOWS\P1110cfg.exe
2007-04-26 21:48 32,768 --a------ C:\WINDOWS\system32\P1110pin.dll
2007-04-26 21:48 118,784 --a------ C:\WINDOWS\system32\P1110vfw.dll
2007-04-24 22:16 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live
2007-04-23 19:48 <REP> d-------- C:\Program Files\Windows Live Safety Center
2007-04-23 19:29 0 --a------ C:\WINDOWS\nsreg.dat
2007-04-23 19:29 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Talkback
2007-04-23 15:17 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-04-23 15:17 90,112 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-04-23 15:17 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-04-23 15:17 733,824 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-04-23 15:17 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-04-23 15:17 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-04-23 15:17 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-04-23 15:17 <REP> d-------- C:\Program Files\Alwil Software
2007-04-23 15:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-04-23 13:30 21,504 --a------ C:\WINDOWS\system32\b.dll
2007-04-23 13:28 <REP> d----c--- C:\WUTemp
2007-04-23 13:27 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2007-04-22 21:20 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Lavasoft
2007-04-22 19:55 663,552 --a------ C:\WINDOWS\system32\libeay32_1-1-0_DDR.dll
2007-04-22 19:55 532,594 --a------ C:\WINDOWS\system32\xerces-c_1_40_0_DDR.dll
2007-04-22 19:55 524,377 --a------ C:\WINDOWS\system32\stlport_4_0_0_DDR.dll
2007-04-22 19:55 307,329 --a------ C:\WINDOWS\system32\BJBase_2-2-2_DDR.dll
2007-04-22 19:55 159,744 --a------ C:\WINDOWS\system32\ssleay32_1-1-0_DDR.dll
2007-04-22 19:55 <REP> d-------- C:\Program Files\BroadJump
2007-04-22 19:48 <REP> d---s---- C:\WINDOWS\system32\%SystemDrive%
2007-04-22 19:48 <REP> d-------- C:\WINDOWS\WLTB Custom Button Feeds
2007-04-22 19:08 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Google
2007-04-22 18:40 <REP> d--hs---- C:\WINDOWS\CSC
2007-04-22 18:38 <REP> d-------- C:\WINDOWS\pss
2007-04-22 17:58 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Google(4)
2007-04-22 16:36 <REP> d-------- C:\Program Files\Venables
2007-04-22 16:36 <REP> d-------- C:\Program Files\UNO Freeware
2007-04-22 16:36 <REP> d-------- C:\Program Files\ubi.com
2007-04-22 16:36 <REP> d-------- C:\Program Files\Sudoku
2007-04-22 16:36 <REP> d-------- C:\Program Files\Fichiers communs\PocketSoft
2007-04-22 16:31 <REP> d-------- C:\Program Files\ArcSoft
2007-04-22 11:45 1,222,991 --a------ C:\DOCUME~1\CYRILL~1.PER\APPLIC~1\Install.dat
2007-04-18 12:49 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Google(3)
2007-04-17 23:25 <REP> d----c--- C:\DBBackup
2007-04-17 23:24 <REP> d-------- C:\Program Files\Need2Find
2007-04-16 19:16 <REP> d-------- C:\Program Files\IndustryGiant 2
2007-04-13 23:12 <REP> d-------- C:\WINDOWS\CtDrvInstall
2007-04-13 23:11 <REP> d----c--- C:\WebCam
2007-04-13 23:00 <REP> d-------- C:\Program Files\My Drivers
2007-04-13 21:22 <REP> d-------- C:\Program Files\HardwareDetection
2007-04-08 14:36 <REP> d----c--- C:\radioblog
2007-04-05 18:49 <REP> d-------- C:\DOCUME~1\CYRILL~1.PER\APPLIC~1\Talkback
2007-04-04 20:04 <REP> d----c--- C:\Languages
2007-04-04 18:49 <REP> d-------- C:\Program Files\eMule
2007-04-04 14:36 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\SeekmoToolbar
2007-04-03 22:18 <REP> d-------- C:\DOCUME~1\CYRILL~1.PER\APPLIC~1\SeekmoToolbar
2007-03-30 20:17 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
2007-03-30 20:11 571,904 --a------ C:\WINDOWS\system32\shdoclc(2).dll
2007-03-30 20:11 30,208 --a------ C:\WINDOWS\system32\pngfilt(2).dll
2007-03-30 20:11 2,793,984 --a------ C:\WINDOWS\system32\mshtml(2).dll
2007-03-30 20:11 1,020,928 --a------ C:\WINDOWS\system32\browseui(2).dll
2007-03-30 19:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
2007-03-30 19:11 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-03-30 18:56 <REP> d-------- C:\Program Files\Norton Security Scan
2007-03-30 18:45 <REP> d-------- C:\Program Files\MSXML 4.0
2007-03-30 18:44 <REP> d----c--- C:\WINDOWS\$xpsp1hfm$
2007-03-28 11:32 <REP> d-------- C:\Program Files\eoRezo
2007-03-28 11:32 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\ItsLabel
2007-03-28 11:32 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\EoRezo
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-04-28 15:08 64354 --a------ C:\WINDOWS\system32\perfc00c.dat
2007-04-28 15:08 64328 --a------ C:\WINDOWS\system32\perfc040.dat
2007-04-28 15:08 447104 --a------ C:\WINDOWS\system32\perfh040.dat
2007-04-28 15:08 446906 --a------ C:\WINDOWS\system32\perfh00c.dat
2007-04-25 19:23 26480 --a------ C:\WINDOWS\system32\gdipfontcachev1.dat
2007-04-23 11:22 -------- d-------- C:\Program Files\motive
2007-04-22 20:34 -------- d-------- C:\Program Files\google
2007-04-22 19:51 -------- d-------- C:\Program Files\club-internet
2007-04-22 19:28 -------- d--h----- C:\Program Files\installshield installation information
2007-04-22 16:37 -------- d-------- C:\Program Files\mon journal intime
2007-04-22 16:37 -------- d-------- C:\DOCUME~1\mag\APPLIC~1\google(2)
2007-04-22 16:36 -------- d-------- C:\Program Files\symantec
2007-04-22 16:36 -------- d-------- C:\Program Files\norton antivirus
2007-04-22 16:36 -------- d-------- C:\Program Files\livre album fuji photo
2007-04-22 16:36 -------- d-------- C:\Program Files\Fichiers communs\symantec shared
2007-04-22 16:34 -------- d-------- C:\Program Files\lavasoft
2007-04-22 16:31 -------- d-------- C:\Program Files\denouvel
2007-04-22 12:54 75264 --a------ C:\WINDOWS\system32\ws2_32.dll
2007-04-22 11:50 260100 --a------ C:\WINDOWS\system32\drivers\ndis.sys
2007-04-15 21:12 69856 --a------ C:\DOCUME~1\mag\APPLIC~1\gdipfontcachev1.dat
2007-04-15 20:44 -------- d-------- C:\Program Files\extrafilm fotofacil
2007-04-13 21:03 -------- d--h----- C:\Program Files\windowsupdate
2007-03-26 22:34 -------- d-------- C:\Program Files\macrogaming
2007-03-22 21:59 -------- d-------- C:\Program Files\windows live toolbar
2007-03-22 21:56 -------- d-------- C:\Program Files\msn messenger
2007-03-22 21:45 -------- d-------- C:\Program Files\windows nt
2007-03-22 21:42 -------- d-------- C:\DOCUME~1\mag\APPLIC~1\motive
2007-03-22 20:02 -------- d-------- C:\Program Files\Fichiers communs\motive
2007-03-22 20:02 -------- d-------- C:\Program Files\common files
2007-03-17 14:47 -------- d-------- C:\Program Files\monopoly
2007-03-08 15:02 -------- d-------- C:\Program Files\winamp
2007-03-08 15:02 -------- d-------- C:\Program Files\lrc editor 4
2007-03-07 18:21 -------- d-------- C:\Program Files\micro application
2007-03-05 22:16 -------- d-------- C:\Program Files\geneatique2006
2007-03-04 15:44 -------- d-------- C:\Program Files\vugames
2007-03-02 16:32 -------- d-------- C:\Program Files\quicktime
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} C:\Program Files\Windows Live Toolbar\msntb.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"MULTIMEDIA KEYBOARD"="C:\\Program Files\\Netropa\\Multimedia Keyboard\\MMKeybd.exe"
"HP Software Update"="\"C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe\""
"HP Component Manager"="\"C:\\Program Files\\HP\\hpcoretech\\hpcmpmgr.exe\""
"ExtraFilmHemmaAgent"="\"C:\\Program Files\\Extrafilm FotoFacil\\Agent.exe\""
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"BJCFD"="C:\\Program Files\\BroadJump\\Client Foundation\\CFD.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Analyser mon ordinateur - mag.job
C:\WINDOWS\tasks\Norton Security Scan.job
C:\WINDOWS\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job
********************************************************************
catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-29 22:31:54
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-04-29 22:32:45
C:\ComboFix-quarantined-files.txt ... 07-04-29 22:32
ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\mag\Bureau\combofix\"
/wow section - STAGE #3
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Documents and Settings\All Users.\documents\settings\desktop.ini
C:\DOCUME~1\mag\Bureau.\internet explorer.lnk
C:\install.log
C:\Documents and Settings\All Users.\documents\settings
((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\nm
((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-29 ))))))))))))))))))))))))))))))))))
2007-04-28 14:19 22,528 --a------ C:\WINDOWS\system32\Partizan.exe
2007-04-28 14:19 <REP> d----c--- C:\RootkitNO
2007-04-27 23:36 96 --a--c--- C:\avexport.bat
2007-04-27 23:36 60,416 --a------ C:\WINDOWS\system32\drivers\wbpkxvxx.sys
2007-04-27 23:36 336 --a--c--- C:\reboot.bat
2007-04-27 23:36 19,814 --a--c--- C:\reboot.exe
2007-04-27 23:36 126,976 --a--c--- C:\zip.exe
2007-04-27 23:36 1,080 --a--c--- C:\kvibwmnq.bat
2007-04-27 23:36 <REP> d----c--- C:\Rustbfix
2007-04-27 23:36 <REP> d----c--- C:\Avenger
2007-04-26 21:48 90,357 --a------ C:\WINDOWS\system32\drivers\P1110Vid.sys
2007-04-26 21:48 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2007-04-26 21:48 73,728 --a------ C:\WINDOWS\ctdrvins.exe
2007-04-26 21:48 69,632 --a------ C:\WINDOWS\system32\P1110Sti.dll
2007-04-26 21:48 65,536 --a------ C:\WINDOWS\system32\CtCamMgr.dll
2007-04-26 21:48 50,688 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-04-26 21:48 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2007-04-26 21:48 40,960 --a------ C:\WINDOWS\system32\P1110hwx.dll
2007-04-26 21:48 40,960 --a------ C:\WINDOWS\P1110cfg.exe
2007-04-26 21:48 32,768 --a------ C:\WINDOWS\system32\P1110pin.dll
2007-04-26 21:48 118,784 --a------ C:\WINDOWS\system32\P1110vfw.dll
2007-04-24 22:16 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live
2007-04-23 19:48 <REP> d-------- C:\Program Files\Windows Live Safety Center
2007-04-23 19:29 0 --a------ C:\WINDOWS\nsreg.dat
2007-04-23 19:29 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Talkback
2007-04-23 15:17 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-04-23 15:17 90,112 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-04-23 15:17 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-04-23 15:17 733,824 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-04-23 15:17 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-04-23 15:17 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-04-23 15:17 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-04-23 15:17 <REP> d-------- C:\Program Files\Alwil Software
2007-04-23 15:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-04-23 13:30 21,504 --a------ C:\WINDOWS\system32\b.dll
2007-04-23 13:28 <REP> d----c--- C:\WUTemp
2007-04-23 13:27 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2007-04-22 21:20 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Lavasoft
2007-04-22 19:55 663,552 --a------ C:\WINDOWS\system32\libeay32_1-1-0_DDR.dll
2007-04-22 19:55 532,594 --a------ C:\WINDOWS\system32\xerces-c_1_40_0_DDR.dll
2007-04-22 19:55 524,377 --a------ C:\WINDOWS\system32\stlport_4_0_0_DDR.dll
2007-04-22 19:55 307,329 --a------ C:\WINDOWS\system32\BJBase_2-2-2_DDR.dll
2007-04-22 19:55 159,744 --a------ C:\WINDOWS\system32\ssleay32_1-1-0_DDR.dll
2007-04-22 19:55 <REP> d-------- C:\Program Files\BroadJump
2007-04-22 19:48 <REP> d---s---- C:\WINDOWS\system32\%SystemDrive%
2007-04-22 19:48 <REP> d-------- C:\WINDOWS\WLTB Custom Button Feeds
2007-04-22 19:08 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Google
2007-04-22 18:40 <REP> d--hs---- C:\WINDOWS\CSC
2007-04-22 18:38 <REP> d-------- C:\WINDOWS\pss
2007-04-22 17:58 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Google(4)
2007-04-22 16:36 <REP> d-------- C:\Program Files\Venables
2007-04-22 16:36 <REP> d-------- C:\Program Files\UNO Freeware
2007-04-22 16:36 <REP> d-------- C:\Program Files\ubi.com
2007-04-22 16:36 <REP> d-------- C:\Program Files\Sudoku
2007-04-22 16:36 <REP> d-------- C:\Program Files\Fichiers communs\PocketSoft
2007-04-22 16:31 <REP> d-------- C:\Program Files\ArcSoft
2007-04-22 11:45 1,222,991 --a------ C:\DOCUME~1\CYRILL~1.PER\APPLIC~1\Install.dat
2007-04-18 12:49 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\Google(3)
2007-04-17 23:25 <REP> d----c--- C:\DBBackup
2007-04-17 23:24 <REP> d-------- C:\Program Files\Need2Find
2007-04-16 19:16 <REP> d-------- C:\Program Files\IndustryGiant 2
2007-04-13 23:12 <REP> d-------- C:\WINDOWS\CtDrvInstall
2007-04-13 23:11 <REP> d----c--- C:\WebCam
2007-04-13 23:00 <REP> d-------- C:\Program Files\My Drivers
2007-04-13 21:22 <REP> d-------- C:\Program Files\HardwareDetection
2007-04-08 14:36 <REP> d----c--- C:\radioblog
2007-04-05 18:49 <REP> d-------- C:\DOCUME~1\CYRILL~1.PER\APPLIC~1\Talkback
2007-04-04 20:04 <REP> d----c--- C:\Languages
2007-04-04 18:49 <REP> d-------- C:\Program Files\eMule
2007-04-04 14:36 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\SeekmoToolbar
2007-04-03 22:18 <REP> d-------- C:\DOCUME~1\CYRILL~1.PER\APPLIC~1\SeekmoToolbar
2007-03-30 20:17 262,144 --a------ C:\DOCUME~1\ALLUSE~1\ntuser.dat
2007-03-30 20:11 571,904 --a------ C:\WINDOWS\system32\shdoclc(2).dll
2007-03-30 20:11 30,208 --a------ C:\WINDOWS\system32\pngfilt(2).dll
2007-03-30 20:11 2,793,984 --a------ C:\WINDOWS\system32\mshtml(2).dll
2007-03-30 20:11 1,020,928 --a------ C:\WINDOWS\system32\browseui(2).dll
2007-03-30 19:38 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
2007-03-30 19:11 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-03-30 18:56 <REP> d-------- C:\Program Files\Norton Security Scan
2007-03-30 18:45 <REP> d-------- C:\Program Files\MSXML 4.0
2007-03-30 18:44 <REP> d----c--- C:\WINDOWS\$xpsp1hfm$
2007-03-28 11:32 <REP> d-------- C:\Program Files\eoRezo
2007-03-28 11:32 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\ItsLabel
2007-03-28 11:32 <REP> d-------- C:\DOCUME~1\mag\APPLIC~1\EoRezo
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-04-28 15:08 64354 --a------ C:\WINDOWS\system32\perfc00c.dat
2007-04-28 15:08 64328 --a------ C:\WINDOWS\system32\perfc040.dat
2007-04-28 15:08 447104 --a------ C:\WINDOWS\system32\perfh040.dat
2007-04-28 15:08 446906 --a------ C:\WINDOWS\system32\perfh00c.dat
2007-04-25 19:23 26480 --a------ C:\WINDOWS\system32\gdipfontcachev1.dat
2007-04-23 11:22 -------- d-------- C:\Program Files\motive
2007-04-22 20:34 -------- d-------- C:\Program Files\google
2007-04-22 19:51 -------- d-------- C:\Program Files\club-internet
2007-04-22 19:28 -------- d--h----- C:\Program Files\installshield installation information
2007-04-22 16:37 -------- d-------- C:\Program Files\mon journal intime
2007-04-22 16:37 -------- d-------- C:\DOCUME~1\mag\APPLIC~1\google(2)
2007-04-22 16:36 -------- d-------- C:\Program Files\symantec
2007-04-22 16:36 -------- d-------- C:\Program Files\norton antivirus
2007-04-22 16:36 -------- d-------- C:\Program Files\livre album fuji photo
2007-04-22 16:36 -------- d-------- C:\Program Files\Fichiers communs\symantec shared
2007-04-22 16:34 -------- d-------- C:\Program Files\lavasoft
2007-04-22 16:31 -------- d-------- C:\Program Files\denouvel
2007-04-22 12:54 75264 --a------ C:\WINDOWS\system32\ws2_32.dll
2007-04-22 11:50 260100 --a------ C:\WINDOWS\system32\drivers\ndis.sys
2007-04-15 21:12 69856 --a------ C:\DOCUME~1\mag\APPLIC~1\gdipfontcachev1.dat
2007-04-15 20:44 -------- d-------- C:\Program Files\extrafilm fotofacil
2007-04-13 21:03 -------- d--h----- C:\Program Files\windowsupdate
2007-03-26 22:34 -------- d-------- C:\Program Files\macrogaming
2007-03-22 21:59 -------- d-------- C:\Program Files\windows live toolbar
2007-03-22 21:56 -------- d-------- C:\Program Files\msn messenger
2007-03-22 21:45 -------- d-------- C:\Program Files\windows nt
2007-03-22 21:42 -------- d-------- C:\DOCUME~1\mag\APPLIC~1\motive
2007-03-22 20:02 -------- d-------- C:\Program Files\Fichiers communs\motive
2007-03-22 20:02 -------- d-------- C:\Program Files\common files
2007-03-17 14:47 -------- d-------- C:\Program Files\monopoly
2007-03-08 15:02 -------- d-------- C:\Program Files\winamp
2007-03-08 15:02 -------- d-------- C:\Program Files\lrc editor 4
2007-03-07 18:21 -------- d-------- C:\Program Files\micro application
2007-03-05 22:16 -------- d-------- C:\Program Files\geneatique2006
2007-03-04 15:44 -------- d-------- C:\Program Files\vugames
2007-03-02 16:32 -------- d-------- C:\Program Files\quicktime
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} C:\Program Files\Windows Live Toolbar\msntb.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"MULTIMEDIA KEYBOARD"="C:\\Program Files\\Netropa\\Multimedia Keyboard\\MMKeybd.exe"
"HP Software Update"="\"C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe\""
"HP Component Manager"="\"C:\\Program Files\\HP\\hpcoretech\\hpcmpmgr.exe\""
"ExtraFilmHemmaAgent"="\"C:\\Program Files\\Extrafilm FotoFacil\\Agent.exe\""
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"BJCFD"="C:\\Program Files\\BroadJump\\Client Foundation\\CFD.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Analyser mon ordinateur - mag.job
C:\WINDOWS\tasks\Norton Security Scan.job
C:\WINDOWS\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job
********************************************************************
catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-29 22:31:54
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-04-29 22:32:45
C:\ComboFix-quarantined-files.txt ... 07-04-29 22:32
re,
pas mal!
1) télécharge lspfix sur ton bureau:
http://cexx.org/LSPFix.exe
lance le en double cliquant sur lspfix.exe,
coche la case I known that I'm doing!
de la fenêtre de gauche sélectionne b.dll > tu fais passer à droite avec la flèche puis clique sur finish!
2) Télécharge clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, choisis l'option 1.
Poste le rapport qui se trouve ici C:\rapport_clean.txt
a+
pas mal!
1) télécharge lspfix sur ton bureau:
http://cexx.org/LSPFix.exe
lance le en double cliquant sur lspfix.exe,
coche la case I known that I'm doing!
de la fenêtre de gauche sélectionne b.dll > tu fais passer à droite avec la flèche puis clique sur finish!
2) Télécharge clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, choisis l'option 1.
Poste le rapport qui se trouve ici C:\rapport_clean.txt
a+
re,
continue avec cleanzip!
on verra ensuite!
a+
continue avec cleanzip!
on verra ensuite!
a+
ok pour clean:
29/04/2007 a 23:54:56,53
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\kr_done1 FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND
*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\mozilla firefox\components\npclntax.xpt" FOUND
"C:\Program Files\Need2Find\" FOUND
*** Fin du rapport !
29/04/2007 a 23:54:56,53
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\kr_done1 FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND
*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\mozilla firefox\components\npclntax.xpt" FOUND
"C:\Program Files\Need2Find\" FOUND
*** Fin du rapport !
Bonjour magaeden hello mOe,
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
1) relance cleanzip,
Choisis cette fois l'option 2!
Poste le rapport ensuite
2) Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU :
Toolbar.bfu et BFU.exe (très important).
Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
Toolbar.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
Redémarre normalement
3) télécharge winsock xp fix ici:
https://www.snapfiles.com/get/winsockxpfix.html
ne l'utilise pas pour l'instant!!
4) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
5) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau:
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
c:\windows\system32\b.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
6) si tu n'as plus accès à internet, lance WinsockXpFix, clic sur fix, tu devras redémarrer le pc ensuite!
7) poste les différents rapports demandé ainsi qu'un nouvel hijackthis!
Bon Courage!
a+
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
1) relance cleanzip,
Choisis cette fois l'option 2!
Poste le rapport ensuite
2) Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU :
Toolbar.bfu et BFU.exe (très important).
Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
Toolbar.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
Redémarre normalement
3) télécharge winsock xp fix ici:
https://www.snapfiles.com/get/winsockxpfix.html
ne l'utilise pas pour l'instant!!
4) relance hijackthis, coche les lignes citées ci dessous et fix checked (toutes fenêtres IE fermées) :
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\b.dll
5) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau:
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
c:\windows\system32\b.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
6) si tu n'as plus accès à internet, lance WinsockXpFix, clic sur fix, tu devras redémarrer le pc ensuite!
7) poste les différents rapports demandé ainsi qu'un nouvel hijackthis!
Bon Courage!
a+
bon alors allons y!!!
pour la démarche 1) avec cleanzip voici le rapport:
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 01/05/2007 a 13:01:33,93
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
pour la démarche 1) avec cleanzip voici le rapport:
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 01/05/2007 a 13:01:33,93
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
pour la démarche 4) j'ai bien fait un scan et demandé à fixer les objets pour les 4 lignes que tu m'as dit et j'ai eu un message d'erreur: le voici:
Hijackthis cannot repair 010 winsock LSP Entries.
You should use LSPFix for that, which is avaible from http://www.cexx.org/ispfix.htm.
If the O10 item belongs to webhancer, new.net or commonname, spybotS&D can remove it automatically. SpybotS&D is avaible from https://www.safer-networking.org/
tu me diras ce que je dois faire en fonction!
Je continue avec la démarche 5)
Hijackthis cannot repair 010 winsock LSP Entries.
You should use LSPFix for that, which is avaible from http://www.cexx.org/ispfix.htm.
If the O10 item belongs to webhancer, new.net or commonname, spybotS&D can remove it automatically. SpybotS&D is avaible from https://www.safer-networking.org/
tu me diras ce que je dois faire en fonction!
Je continue avec la démarche 5)
et voici enfin le rapport hijackthis! attends de tes news!
à+
Logfile of HijackThis v1.99.1
Scan saved at 14:00:30, on 01/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Extrafilm FotoFacil\Agent.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\mag\Bureau\hijackthis vf\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e3b947db14d4b4998b793042ed1c9f5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e3b947db14d4b4998b793042ed1c9f5
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
à+
Logfile of HijackThis v1.99.1
Scan saved at 14:00:30, on 01/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Extrafilm FotoFacil\Agent.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\mag\Bureau\hijackthis vf\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e3b947db14d4b4998b793042ed1c9f5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e3b947db14d4b4998b793042ed1c9f5
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nkhlfjsykerbp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Bonsoir,
rends toi ici:
http://www.virustotal.com/flash/index_en.html
et fais analyser le fichier ci dessous:
c:\windows\system32\nkhlfjsykerbp.dll
poste le rapport virus total ensuite!
a+
rends toi ici:
http://www.virustotal.com/flash/index_en.html
et fais analyser le fichier ci dessous:
c:\windows\system32\nkhlfjsykerbp.dll
poste le rapport virus total ensuite!
a+
d2SOL2E ENCORE UNE FOIS j'ai été trop rapide!
je pense avoir trouvé comment faire! j'ai fait envoyer le fichier vers virus total! une page web s'est ouverte et ils me disent que mon fichier est status queud et que je doit attendre entre 12 et 17 minutes!
une nouvelle page va s'ouvrir au bout de ce temps?
je pense avoir trouvé comment faire! j'ai fait envoyer le fichier vers virus total! une page web s'est ouverte et ils me disent que mon fichier est status queud et que je doit attendre entre 12 et 17 minutes!
une nouvelle page va s'ouvrir au bout de ce temps?
re,
regarde ici:
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
lettre O!
a+
regarde ici:
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
lettre O!
a+
voici le rapport reçu par email parce qu'ne ligne: j'ai été déconnectée avant la fin mais si tu veux le rapport en ligne suis de nouveau en attente et pourrais te l'envoyer!
voici donc le rapport reçu par mail:
Complete scanning result of "nkhlfjsykerbp.dll", processed in VirusTotal at 05/02/2007 21:51:11 (CET).
[ file data ]
* name: nkhlfjsykerbp.dll
* size: 21504
* md5.: 1bcf975f78a43483aa7a59979f40d1a3
* sha1: 95e929d0125c404b81b0fdbcd9761ec55e143a95
[ scan result ]
AhnLab-V3 2007.5.3.0/20070502 found [Win-Trojan/Xema.variant]
AntiVir 7.4.0.15/20070502 found [TR/Vqten.A.1]
Authentium 4.93.8/20070502 found nothing
Avast 4.7.997.0/20070501 found nothing
AVG 7.5.0.467/20070502 found [Generic3.USX]
BitDefender 7.2/20070502 found [Trojan.Vqten.A]
CAT-QuickHeal 9.00/20070430 found [Trojan.Agent.afg]
ClamAV devel-20070416/20070502 found nothing
DrWeb 4.33/20070502 found [Trojan.Vqten]
eSafe 7.0.15.0/20070502 found [Win32.Agent.afg]
eTrust-Vet 30.7.3611/20070502 found [Win32/Netvq!generic]
Ewido 4.0/20070502 found [Trojan.Agent.afg]
F-Prot 4.3.2.48/20070430 found nothing
F-Secure 6.70.13030.0/20070502 found [Trojan.Win32.Agent.afg]
FileAdvisor 1/20070502 found nothing
Fortinet 2.85.0.0/20070502 found [W32/Agent.AFG!tr]
Ikarus T3.1.1.7/20070502 found [Trojan.Vqten]
Kaspersky 4.0.2.24/20070502 found [Trojan.Win32.Agent.afg]
McAfee 5022/20070502 found [PWS-LSP]
Microsoft 1.2405/20070502 found nothing
NOD32v2 2234/20070502 found nothing
Norman 5.80.02/20070502 found nothing
Panda 9.0.0.4/20070502 found [Adware/WebAttaker]
Prevx1 V2/20070502 found [Polynomial.Code.Exploit]
Sophos 4.17.0/20070501 found [Troj/NetVQ-Gen]
Sunbelt 2.2.907.0/20070501 found [Trojan.Win32.Agent.afg]
Symantec 10/20070502 found nothing
TheHacker 6.1.6.104/20070415 found nothing
VBA32 3.11.4/20070502 found [Trojan.Vqten]
VirusBuster 4.3.7:9/20070502 found nothing
Webwasher-Gateway 6.0.1/20070502 found [Trojan.Vqten.A.1]
[ notes ]
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=c87384276348
voici donc le rapport reçu par mail:
Complete scanning result of "nkhlfjsykerbp.dll", processed in VirusTotal at 05/02/2007 21:51:11 (CET).
[ file data ]
* name: nkhlfjsykerbp.dll
* size: 21504
* md5.: 1bcf975f78a43483aa7a59979f40d1a3
* sha1: 95e929d0125c404b81b0fdbcd9761ec55e143a95
[ scan result ]
AhnLab-V3 2007.5.3.0/20070502 found [Win-Trojan/Xema.variant]
AntiVir 7.4.0.15/20070502 found [TR/Vqten.A.1]
Authentium 4.93.8/20070502 found nothing
Avast 4.7.997.0/20070501 found nothing
AVG 7.5.0.467/20070502 found [Generic3.USX]
BitDefender 7.2/20070502 found [Trojan.Vqten.A]
CAT-QuickHeal 9.00/20070430 found [Trojan.Agent.afg]
ClamAV devel-20070416/20070502 found nothing
DrWeb 4.33/20070502 found [Trojan.Vqten]
eSafe 7.0.15.0/20070502 found [Win32.Agent.afg]
eTrust-Vet 30.7.3611/20070502 found [Win32/Netvq!generic]
Ewido 4.0/20070502 found [Trojan.Agent.afg]
F-Prot 4.3.2.48/20070430 found nothing
F-Secure 6.70.13030.0/20070502 found [Trojan.Win32.Agent.afg]
FileAdvisor 1/20070502 found nothing
Fortinet 2.85.0.0/20070502 found [W32/Agent.AFG!tr]
Ikarus T3.1.1.7/20070502 found [Trojan.Vqten]
Kaspersky 4.0.2.24/20070502 found [Trojan.Win32.Agent.afg]
McAfee 5022/20070502 found [PWS-LSP]
Microsoft 1.2405/20070502 found nothing
NOD32v2 2234/20070502 found nothing
Norman 5.80.02/20070502 found nothing
Panda 9.0.0.4/20070502 found [Adware/WebAttaker]
Prevx1 V2/20070502 found [Polynomial.Code.Exploit]
Sophos 4.17.0/20070501 found [Troj/NetVQ-Gen]
Sunbelt 2.2.907.0/20070501 found [Trojan.Win32.Agent.afg]
Symantec 10/20070502 found nothing
TheHacker 6.1.6.104/20070415 found nothing
VBA32 3.11.4/20070502 found [Trojan.Vqten]
VirusBuster 4.3.7:9/20070502 found nothing
Webwasher-Gateway 6.0.1/20070502 found [Trojan.Vqten.A.1]
[ notes ]
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=c87384276348
re,
non, ça me suffit!
donc tu as toujour Otmoveit!
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
c:\windows\system32\nkhlfjsykerbp.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
poste ensuite un nouvel hijackthis!
a+
non, ça me suffit!
donc tu as toujour Otmoveit!
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
c:\windows\system32\nkhlfjsykerbp.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
poste ensuite un nouvel hijackthis!
a+
rapport otmoveit:
DllUnregisterServer procedure not found in c:\windows\system32\nkhlfjsykerbp.dll
c:\windows\system32\nkhlfjsykerbp.dll NOT unregistered.
c:\windows\system32\nkhlfjsykerbp.dll moved successfully.
Created on 05/02/2007 22:27:23
rapport hijackyhis:
Logfile of HijackThis v1.99.1
Scan saved at 22:29:45, on 02/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Extrafilm FotoFacil\Agent.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\mag\Bureau\OTMOVEIT\OTMoveIt.exe
C:\Documents and Settings\mag\Bureau\hijackthis vf\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e3b947db14d4b4998b793042ed1c9f5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e3b947db14d4b4998b793042ed1c9f5
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\nkhlfjsykerbp.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
DllUnregisterServer procedure not found in c:\windows\system32\nkhlfjsykerbp.dll
c:\windows\system32\nkhlfjsykerbp.dll NOT unregistered.
c:\windows\system32\nkhlfjsykerbp.dll moved successfully.
Created on 05/02/2007 22:27:23
rapport hijackyhis:
Logfile of HijackThis v1.99.1
Scan saved at 22:29:45, on 02/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Extrafilm FotoFacil\Agent.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\mag\Bureau\OTMOVEIT\OTMoveIt.exe
C:\Documents and Settings\mag\Bureau\hijackthis vf\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?2e3b947db14d4b4998b793042ed1c9f5
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?2e3b947db14d4b4998b793042ed1c9f5
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\nkhlfjsykerbp.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
re,
on avance bien!
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
a+
on avance bien!
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
a+
salut did71!
si tu n'as pas eu de mes nouvelles plus tot c'est parce que j'avais perdu complétement ma connexion a internet!
j'ai donc été obligée de sauvegarder mes données sur un disque dur externe et de formater mon disque dur!
Solution extreme mais pas le choix!
Je te remercie pour tout le temps que tu as passé sur mon pc en espérant ne plus avoir ce genre de problème!
C'est dommage on était bien partis!
Grand grand merci et à+!
en cas de besoin je m'adresserai à toi!
Sinon, quel antivirus peut tu me conseiller pour etre tranquille?
salut mag
si tu n'as pas eu de mes nouvelles plus tot c'est parce que j'avais perdu complétement ma connexion a internet!
j'ai donc été obligée de sauvegarder mes données sur un disque dur externe et de formater mon disque dur!
Solution extreme mais pas le choix!
Je te remercie pour tout le temps que tu as passé sur mon pc en espérant ne plus avoir ce genre de problème!
C'est dommage on était bien partis!
Grand grand merci et à+!
en cas de besoin je m'adresserai à toi!
Sinon, quel antivirus peut tu me conseiller pour etre tranquille?
salut mag
Bonjour,
que je n'aime pas ce vilain mot de formatage!!!!snifff!!!
on avait virer le plus gros, il ne manquait plus rien!
pour sécuriser ton pc, regarde ici:
https://forum.pcastuces.com/default.asp
a+
que je n'aime pas ce vilain mot de formatage!!!!snifff!!!
on avait virer le plus gros, il ne manquait plus rien!
pour sécuriser ton pc, regarde ici:
https://forum.pcastuces.com/default.asp
a+
************************* Rustock.b-fix -- By ejvindh *************************
27/04/2007 23:36:18,73
******************* Pre-run Status of system *******************
Rootkit driver PE386 is found. Starting the unload-procedure....
Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 71608
Total size: 71608 bytes.
Attempting to remove ADS...
system32: deleted 71608 bytes in 1 streams.
Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32
******************* Post-run Status of system *******************
Rustock.b-driver on the system: NONE!
Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.
Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32
******************************* End of Logfile ********************************