Pc infecte par des virus

simon -  
Darkkiller Messages postés 2336 Statut Contributeur -
bonsoir,
mon pc se comporte etragement depuis qlqs heures,
et maintenant quand je lance le navigateur ca s'affiche une page de asafetynotice.com ...

je veux netoyer mon pc de ces malwares

voila le rapport de hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 00:06:11, on 08/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\ying.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\temp1.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\securite\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C7E7117991AA6D2A1FBB39BFE4976E26CAEDDA7D5C7B412837C6C6 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\program files\zango\zangohook.dll (file missing)
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Program Files\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\ying.exe
O4 - HKLM\..\Run: [GbpSvc] C:\Arquivos de programas\GbpSvc.exe
O4 - HKLM\..\Run: [ying] C:\WINDOWS\ying.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
O21 - SSODL: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - C:\WINDOWS\system32\higehsg.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
Configuration: Windows XP
Internet Explorer 6.0

30 réponses

  • 1
  • 2
  1. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Bonsoir,

    Plusieurs infections,

    OUvre Hijackthis et clique sur "Do a system scan only" et coche ces lignes :

    F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

    O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C7E7117991AA6D2A1FBB39BFE4976E26CAEDDA7D5C7B412837C6C6 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\program files\zango\zangohook.dll (file missing)

    O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll

    O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Program Files\Video ActiveX Object\iesplugin.dll (file missing)

    O4 - HKLM\..\Run: [NettoyeurTitan] C:\Program Files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe

    O4 - HKLM\..\Run: [svchost] C:\WINDOWS\ying.exe

    O4 - HKLM\..\Run: [GbpSvc] C:\Arquivos de programas\GbpSvc.exe

    O4 - HKLM\..\Run: [ying] C:\WINDOWS\ying.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144

    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)

    O21 - SSODL: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - C:\WINDOWS\system32\higehsg.dll

    Puis quand tu as coché toutes ces lignes, clique sur "Fix Checked"
    ----------------------------------------------------------------------------

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, exécutez l'option N.
    --- Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis fait en mode normal.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    ----------------------------------------------------------------------------
    Télécharge FixWareout d'un de ces deux sites sur le bureau:
    http://downloads.subratam.org/Fixwareout.exe
    http://swandog46.geekstogo.com/Fixwareout.exe

    Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

    Puis poste le log
    Ainsi qu'un nouveau log Hijackthis !

    ----------------------------------------------------------------------------
    Télécharge Killbox : http://www.downloads.subratam.org/KillBox.zip

    Décompresse-le dans un dossier dédie !
    Un dossier KillBox.exe va appraitre, double-clique dessus un encadré blanc va appraitre entre ce fichier :

    C:\WINDOWS\ying.exe
    C:\WINDOWS\system32\temp1.exe

    (copie-colle la liste pour éviter des erreurs fatales !)

    Puis ensuite clique sur la petite croix blanche dans un rond rouge.
    Il vont te poser une question disant : Files will be Removed on Reboot, Do you want to reboot now ?"
    (Les fichiers seront supprimés au redémarrage. Souhaitez redémarrer maintenant ?)
    Dans ce cas clique sur "oui"
    Puis repost un log Hijackthis.

    0
  2. simon
     
    merci darkkiller.

    voila le rapport hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 01:00:30, on 08/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Metacafe\MetacafeAgent.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Bureau\securite\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
    O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)

    et celui de fixwareout

    Fixwareout ver 1.003
    Last edited 8/11/2006
    Post this report in the forums please

    Reg Entries that were deleted
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    »»»»»
    Search five digit cs, dm and jb files.
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    C:\WINDOWS\SYSTEM32\CSGWS.EXE 51 768 2007-05-07
    C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2007-05-07
    C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMVSE.EXE 60 990 2007-05-07

    Other suspects.
    Directory of C:\WINDOWS\system32
    {981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
    {A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe
    {F0F9A08B-FE3C-421C-9359-C272604FF3B7}.exe
    {6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
    {7D291843-E344-4964-A5A7-154A80E07114}.exe
    {D46612A0-A0C3-49BA-A832-708A8C03D4C3}.exe

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.

    et le log de msnfix qui n'as pas arriver à detecter les malwares

    MSN_Fix 1.23

    C:\Documents and Settings\Administrateur\Bureau\MSNFix\MSNFix
    Fix exécuté le 08/05/2007 - 0:46:16,88 By Administrateur
    mode normal

    ************************ Recherche les fichiers présents

    Aucun Fichier trouvé

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Fichiers suspects

    /!\ ces fichiers ne sont pas obligatoirement infectieux et nécessitent un avis expérimenté avant toute intervention

    C:\WINDOWS\system32\Metacafe.scr
    C:\WINDOWS\system32\scrnsave.scr
    C:\WINDOWS\system32\ssmypics.scr

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.aceboard.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------

    Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum..

    à suivre pour killbox
    0
  3. simon
     
    j'ai lancer killbox, il n'as pas trouver le 1er fichier par contre le 2eme est reperé et supprimer sans demande de redemarrage.

    le rapport hijackthis apres killbox

    logfile of HijackThis v1.99.1
    Scan saved at 01:12:19, on 08/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Bureau\securite\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
    O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
    0
  4. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    AVANT TOUT, renomme Hijackthis en Scanner.exe

    Ca avance ! On continue !
    Réouvre killbox et entre ce fichier :

    C:\Program Files\Video ActiveX Object\isadd.dll

    Mais attention avant de lancer la suppression, COCHE LA CASE "UNREGISTRER .DLL BEFORE DELETING"
    ----------------------------------------------------------------------------

    Rends toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html

    Clique sur parcourir et cherche ce fichier :

    C:\WINDOWS\system32\Metacafe.scr

    Clique sur send.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    ENSUITE FAIT LA MEME CHOSE AVEC CES FICHIERS :

    C:\WINDOWS\system32\scrnsave.scr

    C:\WINDOWS\system32\ssmypics.scr
    ----------------------------------------------------------------------------

    APRES que tu ait renommé Hijackthis, poste moi un log Hijackthis.

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. simon
     
    impossible de supprimer ce ficher, C le message d'erreur retourné par killbox pour ce fichier.

    on continue ou on doit suivre 1 autre procedure ?

    merci
    0
  7. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Essaye de supprimer avec killbox en mode sans échec tuto :
    http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm
    0
  8. simon
     
    voila le rapport de hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:44:00, on 08/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Administrateur\Bureau\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll (file missing)
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
    O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)

    et voila les rapports de virustotal.com

    STATUS: FINISHEDComplete scanning result of "Metacafe.scr", received in VirusTotal at 05.08.2007, 22:55:39 (CET).

    Antivirus Version Update Result
    AhnLab-V3 2007.5.9.0 05.08.2007 no virus found
    AntiVir 7.4.0.15 05.08.2007 no virus found
    Authentium 4.93.8 05.08.2007 no virus found
    Avast 4.7.997.0 05.07.2007 no virus found
    AVG 7.5.0.467 05.08.2007 no virus found
    BitDefender 7.2 05.08.2007 no virus found
    CAT-QuickHeal 9.00 05.08.2007 no virus found
    ClamAV devel-20070416 05.08.2007 no virus found
    DrWeb 4.33 05.08.2007 no virus found
    eSafe 7.0.15.0 05.08.2007 no virus found
    eTrust-Vet 30.7.3618 05.08.2007 no virus found
    Ewido 4.0 05.08.2007 no virus found
    FileAdvisor 1 05.08.2007 no virus found
    Fortinet 2.85.0.0 05.08.2007 no virus found
    F-Prot 4.3.2.48 05.08.2007 no virus found
    F-Secure 6.70.13030.0 05.08.2007 no virus found
    Ikarus T3.1.1.7 05.08.2007 no virus found
    Kaspersky 4.0.2.24 05.08.2007 no virus found
    McAfee 5026 05.08.2007 no virus found
    Microsoft 1.2503 05.08.2007 no virus found
    NOD32v2 2249 05.08.2007 no virus found
    Norman 5.80.02 05.08.2007 no virus found
    Panda 9.0.0.4 05.08.2007 Suspicious file
    Prevx1 V2 05.08.2007 no virus found
    Sophos 4.17.0 05.08.2007 no virus found
    Sunbelt 2.2.907.0 05.05.2007 no virus found
    Symantec 10 05.08.2007 no virus found
    TheHacker 6.1.6.110 05.08.2007 no virus found
    VBA32 3.12.0 05.08.2007 no virus found
    VirusBuster 4.3.7:9 05.08.2007 no virus found
    Webwasher-Gateway 6.0.1 05.08.2007 Win32.Malware.gen!90 (suspicious)

    Aditional Information
    File size: 128528 bytes
    MD5: c31849fe2d789c1508d9f97b1a388787
    SHA1: bade6786b89ca938aea119509439da8f60d166b6

    STATUS: FINISHEDComplete scanning result of "scrnsave.scr", received in VirusTotal at 05.08.2007, 23:07:56 (CET).

    Antivirus Version Update Result
    AhnLab-V3 2007.5.9.0 05.08.2007 no virus found
    AntiVir 7.4.0.15 05.08.2007 no virus found
    Authentium 4.93.8 05.08.2007 no virus found
    Avast 4.7.997.0 05.07.2007 no virus found
    AVG 7.5.0.467 05.08.2007 no virus found
    BitDefender 7.2 05.08.2007 no virus found
    CAT-QuickHeal 9.00 05.08.2007 no virus found
    ClamAV devel-20070416 05.08.2007 no virus found
    DrWeb 4.33 05.08.2007 no virus found
    eSafe 7.0.15.0 05.08.2007 no virus found
    eTrust-Vet 30.7.3618 05.08.2007 no virus found
    Ewido 4.0 05.08.2007 no virus found
    FileAdvisor 1 05.08.2007 No threat detected
    Fortinet 2.85.0.0 05.08.2007 no virus found
    F-Prot 4.3.2.48 05.08.2007 no virus found
    F-Secure 6.70.13030.0 05.08.2007 no virus found
    Ikarus T3.1.1.7 05.08.2007 no virus found
    Kaspersky 4.0.2.24 05.08.2007 no virus found
    McAfee 5026 05.08.2007 no virus found
    Microsoft 1.2503 05.08.2007 no virus found
    NOD32v2 2249 05.08.2007 no virus found
    Norman 5.80.02 05.08.2007 no virus found
    Panda 9.0.0.4 05.08.2007 no virus found
    Prevx1 V2 05.08.2007 no virus found
    Sophos 4.17.0 05.08.2007 no virus found
    Sunbelt 2.2.907.0 05.05.2007 no virus found
    Symantec 10 05.08.2007 no virus found
    TheHacker 6.1.6.110 05.08.2007 no virus found
    VBA32 3.12.0 05.08.2007 no virus found
    VirusBuster 4.3.7:9 05.08.2007 no virus found
    Webwasher-Gateway 6.0.1 05.08.2007 no virus found

    Aditional Information
    File size: 9216 bytes
    MD5: 59b6ee33cd95cea41ff390347a0cdc19
    SHA1: de86aa6f4849bf8d6584eabd431652a83c8c2e32
    Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=59b6ee33cd95cea41ff390347a0cdc19

    STATUS: FINISHEDComplete scanning result of "ssmypics.scr", received in VirusTotal at 05.08.2007, 23:24:00 (CET).

    Antivirus Version Update Result
    AhnLab-V3 2007.5.9.0 05.08.2007 no virus found
    AntiVir 7.4.0.15 05.08.2007 no virus found
    Authentium 4.93.8 05.08.2007 no virus found
    Avast 4.7.997.0 05.07.2007 no virus found
    AVG 7.5.0.467 05.08.2007 no virus found
    BitDefender 7.2 05.08.2007 no virus found
    CAT-QuickHeal 9.00 05.08.2007 no virus found
    ClamAV devel-20070416 05.08.2007 no virus found
    DrWeb 4.33 05.08.2007 no virus found
    eSafe 7.0.15.0 05.08.2007 no virus found
    eTrust-Vet 30.7.3618 05.08.2007 no virus found
    Ewido 4.0 05.08.2007 no virus found
    FileAdvisor 1 05.08.2007 No threat detected
    Fortinet 2.85.0.0 05.08.2007 no virus found
    F-Prot 4.3.2.48 05.08.2007 no virus found
    F-Secure 6.70.13030.0 05.08.2007 no virus found
    Ikarus T3.1.1.7 05.08.2007 no virus found
    Kaspersky 4.0.2.24 05.08.2007 no virus found
    McAfee 5026 05.08.2007 no virus found
    Microsoft 1.2503 05.08.2007 no virus found
    NOD32v2 2250 05.08.2007 no virus found
    Norman 5.80.02 05.08.2007 no virus found
    Panda 9.0.0.4 05.08.2007 no virus found
    Prevx1 V2 05.08.2007 no virus found
    Sophos 4.17.0 05.08.2007 no virus found
    Sunbelt 2.2.907.0 05.05.2007 no virus found
    Symantec 10 05.08.2007 no virus found
    TheHacker 6.1.6.110 05.08.2007 no virus found
    VBA32 3.12.0 05.08.2007 no virus found
    VirusBuster 4.3.7:9 05.08.2007 no virus found
    Webwasher-Gateway 6.0.1 05.08.2007 no virus found

    Aditional Information
    File size: 47104 bytes
    MD5: d074fe5adde2be9a0572cdfc33418836
    SHA1: d2181d85ddfe2c1e3e8a36077e165213b27aefd1
    Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=d074fe5adde2be9a0572cdfc33418836
    0
  9. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Réxécute Le FixWareout. et poste son log.
    0
  10. simon
     
    le voila :

    Fixwareout ver 1.003
    Last edited 8/11/2006
    Post this report in the forums please

    Reg Entries that were deleted
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    »»»»»
    Search five digit cs, dm and jb files.
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    C:\WINDOWS\SYSTEM32\CSGWS.EXE 51 768 2007-05-07
    C:\WINDOWS\SYSTEM32\CSMPG.EXE 51 720 2007-05-07
    C:\WINDOWS\SYSTEM32\DMLGO.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMLXD.EXE 60 999 2005-07-05
    C:\WINDOWS\SYSTEM32\DMVSE.EXE 60 990 2007-05-07

    Other suspects.
    Directory of C:\WINDOWS\system32
    {981D343D-C4DF-437A-9A8A-87D45FC24449}.exe
    {A089F239-1A4B-413D-86FA-E5190F9ADE8C}.exe
    {F0F9A08B-FE3C-421C-9359-C272604FF3B7}.exe
    {6EFDE2A6-C5A5-4A75-8D21-1AB809FEB1D8}.exe
    {7D291843-E344-4964-A5A7-154A80E07114}.exe
    {D46612A0-A0C3-49BA-A832-708A8C03D4C3}.exe

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.
    0
  11. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Poste un log Hijackthis
    0
  12. simon
     
    Logfile of HijackThis v1.99.1
    Scan saved at 20:43:41, on 09/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Administrateur\Bureau\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll (file missing)
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
    O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
    0
  13. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Ouvre Hijackthis et clique sur "DO a system scan only" et coche ces lignes :

    O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isadd.dll (file missing)

    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144

    Puis quand tu as coché ces lignes, clique sur "Fix Checked"
    0
  14. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Reposte un log Hijackthis.
    0
  15. simon
     
    Logfile of HijackThis v1.99.1
    Scan saved at 21:43:10, on 09/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Administrateur\Bureau\scanner.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
    O4 - Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer = 85.255.115.45 85.255.112.144
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: High Quality Decompress Service (HQDecompressService) - Unknown owner - C:\Program Files\Fichiers communs\HQManager\hqdecsvc.exe (file missing)
    0
  16. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Donc télécharge clean : http://www.malekal.com/download/clean.zip

    Installe-le sur le bureau et dezippe-le.
    Un dossier clean va être créer double-clique dessus
    Puis double clique sur clean.cmd et choisit l'option 1.Patiente un peu.
    Poste ce rapport dans ton prochain post

    0
  17. simon
     
    10/05/2007 a 20:45:32,55

    *** Recherche des fichiers dans C:
    C:\autorun.inf FOUND
    C:\host.exe FOUND

    *** Recherche des fichiers dans C:\WINDOWS\
    C:\WINDOWS\internt.exe FOUND

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\server.exe FOUND
    C:\WINDOWS\nsreg.dat FOUND
    "C:\Documents and Settings\All Users\Bureau\Online Security Guide.url" FOUND
    "C:\Documents and Settings\All Users\Bureau\Security Troubleshooting.url" FOUND

    *** Recherche des fichiers dans C:\Program Files
    "C:\Program Files\mozilla firefox\components\npclntax.xpt" FOUND
    "C:\Program Files\mozilla firefox\plugins\npclntax.dll" FOUND
    "C:\Program Files\Network Monitor\" FOUND
    "C:\Program Files\SpyDawn\" FOUND
    "C:\Program Files\Ultimate Cleaner\" FOUND
    "C:\Program Files\Ultimate Defender" FOUND
    *** Fin du rapport !
    0
  18. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Ouvre clean.cmd et choisis l'option 2.
    Ensuite poste le rapport.

    ----------------------------------------------------------------------------
    Tu vas télécharger SmitFraudFix :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Suis ces procédures:

    Double-clique sur smitfraudfix.exe
    Sélectionne 1 (MAIS SURTOUT PAS LE 2 JE TE DIRAIS QUAND TU POURRA LE FAIRE ) puis appuie "entrer" ensuite un rapport sera généré dans ce chemin :

    C:\rapport.txt

    Puis tu le colle dans ton prochain post

    Remarque:

    Process.exe est detecté par certains antivirus.
    Ce n'est pas un virus, mais il peut arreter des logiciel de securité avec certaine manipulation.
    C'est pour cela qu'il est detecté par les antivirus.

    0
  19. simon
     
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 10/05/2007 a 21:13:12,07

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:
    tentative de suppression de C:\autorun.inf
    tentative de suppression de C:\host.exe

    *** Suppression des fichiers dans C:\WINDOWS\
    tentative de suppression de C:\WINDOWS\internt.exe

    *** Suppression des fichiers dans C:\WINDOWS\system32
    tentative de suppression de C:\WINDOWS\system32\server.exe
    tentative de suppression de C:\WINDOWS\nsreg.dat
    tentative de suppression de "C:\Documents and Settings\All Users\Bureau\Online Security Guide.url"
    tentative de suppression de "C:\Documents and Settings\All Users\Bureau\Security Troubleshooting.url"

    *** Suppression des fichiers dans C:\Program Files
    tentative de suppression de "C:\Program Files\mozilla firefox\components\npclntax.xpt"
    tentative de suppression de "C:\Program Files\mozilla firefox\plugins\npclntax.dll"
    tentative de suppression de "C:\Program Files\Network Monitor\"
    tentative de suppression de "C:\Program Files\SpyDawn\" - [b]ATTENTION[/b] il est recommandé d'utiliser SmitFraudfix!
    tentative de suppression de "C:\Program Files\Ultimate Cleaner\"
    tentative de suppression de "C:\Program Files\Ultimate Defender"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !
    0
  20. simon
     
    SmitFraudFix v2.179

    Rapport fait à 21:21:03,64, 10/05/2007
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\taskswitch.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\higehsg.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
    C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    C:\DOCUME~1\ADMINI~1\Favoris\Online Security Test.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\Video ActiveX Object\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{2016a466-91a2-43c6-97d8-2fd380f065ef}"="eitheror"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "system"=""

    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

    Description: WAN (PPP/SLIP) Interface
    DNS Server Search Order: 85.255.115.45
    DNS Server Search Order: 85.255.112.144

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: DhcpNameServer=85.255.115.45,85.255.112.144
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer=85.255.115.45 85.255.112.144
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: DhcpNameServer=85.255.115.45,85.255.112.144
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E68823F2-4672-414B-8321-54422EC24F6C}: NameServer=85.255.115.45 85.255.112.144
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{20A45F86-6CA6-419D-B823-4E1D69604978}: DhcpNameServer=85.255.115.45,85.255.112.144

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  • 1
  • 2