[Virus] Infecté par "photoalbum/zip" (ms
Résolu
djshu
Messages postés
12
Statut
Membre
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Je suis infesté par le virus photoalbum.zip.
J'ai effectué un rapport avec msnfix :
MSN_Fix 1.324
C:\Documents and Settings\mylene_3\Bureau\MSNFix
Fix exécuté le 17/06/2007 - 16:26:06,75 By mylene_3
mode normal
************************ Recherche les fichiers présents
... C:\WINDOWS\system32\syshelps.dll
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
/!\ ... C:\WINDOWS\system32\syshelps.dll
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\system32\syshelps.dll
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
Aucun dossier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 17062007_16341739.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Et voici le rapport avec hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 16:39:08, on 17/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\a-squared free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\mylene_3\LOCALS~1\Temp\Rar$EX00.844\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - (no file)
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-436325722327} - (no file)
O2 - BHO: (no name) - {684C1C62-5943-A1B2-581C-6AAFE1B3CD82} - C:\DOCUME~1\mylene_2\APPLIC~1\scrfast\dupe hold.exe (file missing)
O2 - BHO: (no name) - {6EAFFF11-D3C1-4CC0-8A1D-1EA47E3E5464} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fnbtkika] c:\windows\system32\fnbtkika.exe fnbtkika
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Companion\Modules\messmod4\v6\yhexbmes.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Companion\Modules\messmod4\v6\yhexbmes.dll (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://portail.free.fr/
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/inflaterball/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/ReflexiveWebGameLoader.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097743015284
O16 - DPF: {64D01C7F-810D-446E-A07E-365764235644} (AtlAtomadersCtlAttrib Class) - http://kraisoft.com/files/realone/atomaders.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - https://www.ea.com/ea-studios/popcap
O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer = 212.216.212.112,212.216.172.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer = 212.216.212.112,212.216.172.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Besoin d'aide.
Merci d'avance
J'ai effectué un rapport avec msnfix :
MSN_Fix 1.324
C:\Documents and Settings\mylene_3\Bureau\MSNFix
Fix exécuté le 17/06/2007 - 16:26:06,75 By mylene_3
mode normal
************************ Recherche les fichiers présents
... C:\WINDOWS\system32\syshelps.dll
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
/!\ ... C:\WINDOWS\system32\syshelps.dll
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\system32\syshelps.dll
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
Aucun dossier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 17062007_16341739.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Et voici le rapport avec hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 16:39:08, on 17/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\a-squared free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\mylene_3\LOCALS~1\Temp\Rar$EX00.844\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - (no file)
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-436325722327} - (no file)
O2 - BHO: (no name) - {684C1C62-5943-A1B2-581C-6AAFE1B3CD82} - C:\DOCUME~1\mylene_2\APPLIC~1\scrfast\dupe hold.exe (file missing)
O2 - BHO: (no name) - {6EAFFF11-D3C1-4CC0-8A1D-1EA47E3E5464} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fnbtkika] c:\windows\system32\fnbtkika.exe fnbtkika
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Companion\Modules\messmod4\v6\yhexbmes.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Companion\Modules\messmod4\v6\yhexbmes.dll (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://portail.free.fr/
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/inflaterball/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/ReflexiveWebGameLoader.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097743015284
O16 - DPF: {64D01C7F-810D-446E-A07E-365764235644} (AtlAtomadersCtlAttrib Class) - http://kraisoft.com/files/realone/atomaders.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - https://www.photobox.fr/?channel=1005
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - https://www.ea.com/ea-studios/popcap
O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer = 212.216.212.112,212.216.172.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer = 212.216.212.112,212.216.172.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Besoin d'aide.
Merci d'avance
A voir également:
- [Virus] Infecté par "photoalbum/zip" (ms
- Télécharger 7-zip - Télécharger - Compression & Décompression
- Comment ouvrir un fichier zip - Guide
- Express zip - Télécharger - Compression & Décompression
- Virus mcafee - Accueil - Piratage
- Win zip - Télécharger - Compression & Décompression
21 réponses
msn fix a fait le nettoyage fait un scan en ligne pour voir
https://www.bitdefender.com/toolbox/
et colle le rapport
https://www.bitdefender.com/toolbox/
et colle le rapport
sinon telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ton probleme est plus facile a regler qu il ny parait, se virus est assez recent et embetant.. maintenant voici la marche a suivre
Quand le ver est exécuté, il crée les dossiers suivants :
%Windir% \ photos.zip
%System% \ syshosts.dll
Le ver crée également les entrées suivantes d'enregistrement :
HKEY_CLASSES_ROOT \ CLSID \ {063D385B-25DB-41C3-80C3-6ADC5DE65B2E} \ InProcServer32 \ « (défaut) » = « syshosts.dll »
HKEY_LOCAL_MACHINE \ logiciel \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad \ « syshosts » = » {063D385B-25DB-41C3-80C3-6ADC5DE65B2E} «
a toi de faire la recherche de ces dossier et supprime les. met a jour ton anti virus et fait un scan.. le probleme sera vite regler...
si tu as un probleme pour supprimer le syshost met le fichier sur ton bureau et change son nom, essaie de le supprimer mais tu va pas reussir, redemarre et resupprime, et il te restera a vider ta corbeille.. voila!! et n oubli pas le scan
Quand le ver est exécuté, il crée les dossiers suivants :
%Windir% \ photos.zip
%System% \ syshosts.dll
Le ver crée également les entrées suivantes d'enregistrement :
HKEY_CLASSES_ROOT \ CLSID \ {063D385B-25DB-41C3-80C3-6ADC5DE65B2E} \ InProcServer32 \ « (défaut) » = « syshosts.dll »
HKEY_LOCAL_MACHINE \ logiciel \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoad \ « syshosts » = » {063D385B-25DB-41C3-80C3-6ADC5DE65B2E} «
a toi de faire la recherche de ces dossier et supprime les. met a jour ton anti virus et fait un scan.. le probleme sera vite regler...
si tu as un probleme pour supprimer le syshost met le fichier sur ton bureau et change son nom, essaie de le supprimer mais tu va pas reussir, redemarre et resupprime, et il te restera a vider ta corbeille.. voila!! et n oubli pas le scan
impossible de trouver les fichiers :
%Windir% \ photos.zip
%System% \ syshosts.dll
Le photos.zip je me rappelle l'avoir supprimé sans aucun probblème.
Tu aurais une autre façon d'éradiquer cette tite bête alors ?
%Windir% \ photos.zip
%System% \ syshosts.dll
Le photos.zip je me rappelle l'avoir supprimé sans aucun probblème.
Tu aurais une autre façon d'éradiquer cette tite bête alors ?
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
-----------------------------
scan avec des antiespions(en mode sans echec):
spybot :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
AD AWARE:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html
------------------
telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/
ou fait un scan en ligne et colle le rapport
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
-----------------------------
scan avec des antiespions(en mode sans echec):
spybot :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
AD AWARE:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html
------------------
telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/
ou fait un scan en ligne et colle le rapport
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Le scan est en train de se faire. Toutes tes manips sont a faire ou seulement quelques-unes peuveut supprimé mon problème.
Je tenvoi le rapport dès que c'est finit
Je tenvoi le rapport dès que c'est finit
Voila mon rapport :
Search Navipromo version 2.0.3 commencé le 17/06/2007 à 17:07:56,64
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\mylene_3\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\ipehrb.dat
C:\windows\system32\ipehrb.exe
c:\WINDOWS\system32\ipehrb_navup.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\ipehrb.exe
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\fnbtkika.dat trouvé !
C:\WINDOWS\system32\fxcskz.dat trouvé !
C:\WINDOWS\system32\ipehrb.dat trouvé !
C:\WINDOWS\system32\xkuvusta.dat trouvé !
**
C:\WINDOWS\system32\fnbtkika.dat trouvé !
C:\WINDOWS\system32\fxcskz.dat trouvé !
C:\WINDOWS\system32\ipehrb.dat trouvé !
C:\WINDOWS\system32\xkuvusta.dat trouvé !
***
****
C:\WINDOWS\system32\xkuvusta_navps.dat trouvé !
*****
C:\WINDOWS\system32\xkuvusta_nav.dat trouvé !
C:\WINDOWS\system32\fnbtkika_navup.dat trouvé !
C:\WINDOWS\system32\fxcskz_navup.dat trouvé !
C:\WINDOWS\system32\ipehrb_navup.dat trouvé !
C:\WINDOWS\system32\xkuvusta_navup.dat trouvé !
******
*******
********
C:\WINDOWS\system32\fnbtkika.exe trouvé !
C:\WINDOWS\system32\ipehrb.exe trouvé !
C:\WINDOWS\system32\xkuvusta.exe trouvé !
*** Analyse Terminé le 17/06/2007 à 17:18:28,59 ***
Search Navipromo version 2.0.3 commencé le 17/06/2007 à 17:07:56,64
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\mylene_3\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\ipehrb.dat
C:\windows\system32\ipehrb.exe
c:\WINDOWS\system32\ipehrb_navup.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\ipehrb.exe
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\fnbtkika.dat trouvé !
C:\WINDOWS\system32\fxcskz.dat trouvé !
C:\WINDOWS\system32\ipehrb.dat trouvé !
C:\WINDOWS\system32\xkuvusta.dat trouvé !
**
C:\WINDOWS\system32\fnbtkika.dat trouvé !
C:\WINDOWS\system32\fxcskz.dat trouvé !
C:\WINDOWS\system32\ipehrb.dat trouvé !
C:\WINDOWS\system32\xkuvusta.dat trouvé !
***
****
C:\WINDOWS\system32\xkuvusta_navps.dat trouvé !
*****
C:\WINDOWS\system32\xkuvusta_nav.dat trouvé !
C:\WINDOWS\system32\fnbtkika_navup.dat trouvé !
C:\WINDOWS\system32\fxcskz_navup.dat trouvé !
C:\WINDOWS\system32\ipehrb_navup.dat trouvé !
C:\WINDOWS\system32\xkuvusta_navup.dat trouvé !
******
*******
********
C:\WINDOWS\system32\fnbtkika.exe trouvé !
C:\WINDOWS\system32\ipehrb.exe trouvé !
C:\WINDOWS\system32\xkuvusta.exe trouvé !
*** Analyse Terminé le 17/06/2007 à 17:18:28,59 ***
plein de cochonneries trouvées!!!!!!
fait la deuxieme partie de navilog tu va voir ce qui sera supprimé
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
2 EME PARTIE
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît
= Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)
-------------------------------
puis smitfraud fix
http://telechargement.zebulon.fr/smitfraudfix.html
2/ double clique sur smitfraudfix. puis selectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redemarre en mode sans echec (en appuyant sur F8 ou suppr, ou F5 au demarrage en général)
3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée
--------------------------
et le reste donné precedemment
fait la deuxieme partie de navilog tu va voir ce qui sera supprimé
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
2 EME PARTIE
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît
= Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)
-------------------------------
puis smitfraud fix
http://telechargement.zebulon.fr/smitfraudfix.html
2/ double clique sur smitfraudfix. puis selectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redemarre en mode sans echec (en appuyant sur F8 ou suppr, ou F5 au demarrage en général)
3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée
--------------------------
et le reste donné precedemment
Rapport 2ème partie navilog :
Clean Navipromo version 2.0.3 commencé le 17/06/2007 à 17:32:05,46
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\ipehrb.dat supprimé !
C:\windows\system32\ipehrb.exe supprimé !
c:\WINDOWS\system32\ipehrb_navup.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\ipehrb.exe absent !
C:\WINDOWS\system32\ipehrb.dat absent !
C:\WINDOWS\system32\ipehrb_nav.dat absent !
C:\WINDOWS\system32\ipehrb_navps.dat absent !
C:\WINDOWS\system32\ipehrb_navup.dat absent !
C:\WINDOWS\system32\ipehrb_navtmp.dat absent !
C:\WINDOWS\system32\ipehrb_m2s.xml absent !
C:\WINDOWS\prefetch\ipehrb*.pf absent !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\mylene_3\Application Data ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\mylene_3\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
C:\WINDOWS\System32\fnbtkika.dat trouvé !
Copie C:\WINDOWS\system32\fnbtkika.dat réalise avec succes !
C:\WINDOWS\system32\fnbtkika.dat supprimé !
C:\WINDOWS\System32\fxcskz.dat trouvé !
Copie C:\WINDOWS\system32\fxcskz.dat réalise avec succes !
C:\WINDOWS\system32\fxcskz.dat supprimé !
C:\WINDOWS\System32\xkuvusta.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta.dat supprimé !
**
***
****
C:\WINDOWS\System32\xkuvusta_navps.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta_navps.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta_navps.dat supprimé !
*****
C:\WINDOWS\System32\xkuvusta_nav.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta_nav.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta_nav.dat supprimé !
C:\WINDOWS\System32\fnbtkika_navup.dat trouvé !
Copie C:\WINDOWS\system32\fnbtkika_navup.dat réalise avec succes !
C:\WINDOWS\system32\fnbtkika_navup.dat supprimé !
C:\WINDOWS\System32\fxcskz_navup.dat trouvé !
Copie C:\WINDOWS\system32\fxcskz_navup.dat réalise avec succes !
C:\WINDOWS\system32\fxcskz_navup.dat supprimé !
C:\WINDOWS\System32\xkuvusta_navup.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta_navup.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta_navup.dat supprimé !
******
*******
********
C:\WINDOWS\System32\fnbtkika.exe trouvé !
Copie C:\WINDOWS\system32\fnbtkika.exe réalise avec succes !
C:\WINDOWS\system32\fnbtkika.exe supprimé !
C:\WINDOWS\System32\xkuvusta.exe trouvé !
Copie C:\WINDOWS\system32\xkuvusta.exe réalise avec succes !
C:\WINDOWS\system32\xkuvusta.exe supprimé !
3)Contrôle présence clés Rootkit dans le registre :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fnbtkika"=C:\WINDOWS\system32\fnbtkika.exe fnbtkika trouvé !
Nettoyage complémentaire du registre....
*** Nettoyage termine le 17/06/2007 à 17:34:07,51 ***
Pour le scan avec smitfraudfix, il faut le faire en mode sans echec aussi ? Et les étapes 2 et 3 se font à la suite ? Eclairci-moi :)
Clean Navipromo version 2.0.3 commencé le 17/06/2007 à 17:32:05,46
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\ipehrb.dat supprimé !
C:\windows\system32\ipehrb.exe supprimé !
c:\WINDOWS\system32\ipehrb_navup.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\ipehrb.exe absent !
C:\WINDOWS\system32\ipehrb.dat absent !
C:\WINDOWS\system32\ipehrb_nav.dat absent !
C:\WINDOWS\system32\ipehrb_navps.dat absent !
C:\WINDOWS\system32\ipehrb_navup.dat absent !
C:\WINDOWS\system32\ipehrb_navtmp.dat absent !
C:\WINDOWS\system32\ipehrb_m2s.xml absent !
C:\WINDOWS\prefetch\ipehrb*.pf absent !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\mylene_3\Application Data ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\mylene_3\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
C:\WINDOWS\System32\fnbtkika.dat trouvé !
Copie C:\WINDOWS\system32\fnbtkika.dat réalise avec succes !
C:\WINDOWS\system32\fnbtkika.dat supprimé !
C:\WINDOWS\System32\fxcskz.dat trouvé !
Copie C:\WINDOWS\system32\fxcskz.dat réalise avec succes !
C:\WINDOWS\system32\fxcskz.dat supprimé !
C:\WINDOWS\System32\xkuvusta.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta.dat supprimé !
**
***
****
C:\WINDOWS\System32\xkuvusta_navps.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta_navps.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta_navps.dat supprimé !
*****
C:\WINDOWS\System32\xkuvusta_nav.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta_nav.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta_nav.dat supprimé !
C:\WINDOWS\System32\fnbtkika_navup.dat trouvé !
Copie C:\WINDOWS\system32\fnbtkika_navup.dat réalise avec succes !
C:\WINDOWS\system32\fnbtkika_navup.dat supprimé !
C:\WINDOWS\System32\fxcskz_navup.dat trouvé !
Copie C:\WINDOWS\system32\fxcskz_navup.dat réalise avec succes !
C:\WINDOWS\system32\fxcskz_navup.dat supprimé !
C:\WINDOWS\System32\xkuvusta_navup.dat trouvé !
Copie C:\WINDOWS\system32\xkuvusta_navup.dat réalise avec succes !
C:\WINDOWS\system32\xkuvusta_navup.dat supprimé !
******
*******
********
C:\WINDOWS\System32\fnbtkika.exe trouvé !
Copie C:\WINDOWS\system32\fnbtkika.exe réalise avec succes !
C:\WINDOWS\system32\fnbtkika.exe supprimé !
C:\WINDOWS\System32\xkuvusta.exe trouvé !
Copie C:\WINDOWS\system32\xkuvusta.exe réalise avec succes !
C:\WINDOWS\system32\xkuvusta.exe supprimé !
3)Contrôle présence clés Rootkit dans le registre :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fnbtkika"=C:\WINDOWS\system32\fnbtkika.exe fnbtkika trouvé !
Nettoyage complémentaire du registre....
*** Nettoyage termine le 17/06/2007 à 17:34:07,51 ***
Pour le scan avec smitfraudfix, il faut le faire en mode sans echec aussi ? Et les étapes 2 et 3 se font à la suite ? Eclairci-moi :)
http://telechargement.zebulon.fr/smitfraudfix.html
2/ en mode normal :double clique sur smitfraudfix. puis selectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.
une fois le rapport effectué redemarre en mode sans echec (en appuyant sur F8 ou suppr, ou F5 au demarrage en général)
3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée
2/ en mode normal :double clique sur smitfraudfix. puis selectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.
une fois le rapport effectué redemarre en mode sans echec (en appuyant sur F8 ou suppr, ou F5 au demarrage en général)
3/ puis refaire comme en 2/ mais selectionne l'option 2 et appuyer sur entrée pour commencer la desinfection. lorsque le programme demande si tu veut nettoyer le registre metsoui en tapant 0 et entrée
puis
CCLEANER (faire nettoyage puis reparer les clés) sans installer la barre yahoo
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
------------------------------
scan avec des antiespions(en mode sans echec):
spybot :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
AD AWARE:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html
------------------
telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/
ou fait un scan en ligne et colle le rapport
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
CCLEANER (faire nettoyage puis reparer les clés) sans installer la barre yahoo
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
------------------------------
scan avec des antiespions(en mode sans echec):
spybot :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
AD AWARE:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html
------------------
telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/
ou fait un scan en ligne et colle le rapport
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Etape 1 :
Je vais en sans échec pour l'étape 2
SmitFraudFix v2.195
Rapport fait à 17:41:40,95, 17/06/2007
Executé à partir de C:\Documents and Settings\mylene_3\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
c:\program files\a-squared free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mylene_3
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mylene_3\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mylene_3\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: VIA Rhine III Fast Ethernet Adapter
DNS Server Search Order: 212.216.212.112
DNS Server Search Order: 212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Je vais en sans échec pour l'étape 2
SmitFraudFix v2.195
Rapport fait à 17:41:40,95, 17/06/2007
Executé à partir de C:\Documents and Settings\mylene_3\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
c:\program files\a-squared free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mylene_3
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mylene_3\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mylene_3\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: VIA Rhine III Fast Ethernet Adapter
DNS Server Search Order: 212.216.212.112
DNS Server Search Order: 212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
bon courage continue
avec le scan en ligne si il y a encore virus photoalbum.zip.
tu devrait quelque chose comme ca:
C:\WINDOWS\system32\syshelps.dll
Infecté par: Backdoor.IRCBot.ABDD
C:\WINDOWS\system32\syshelps.dll
Echec de la désinfection
C:\WINDOWS\system32\syshelps.dll
Echec de la suppression
sinon c'est que c'est bon
avec le scan en ligne si il y a encore virus photoalbum.zip.
tu devrait quelque chose comme ca:
C:\WINDOWS\system32\syshelps.dll
Infecté par: Backdoor.IRCBot.ABDD
C:\WINDOWS\system32\syshelps.dll
Echec de la désinfection
C:\WINDOWS\system32\syshelps.dll
Echec de la suppression
sinon c'est que c'est bon
Rapport de l'étape 3
SmitFraudFix v2.195
Rapport fait à 17:48:28,00, 17/06/2007
Executé à partir de C:\Documents and Settings\mylene_3\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.195
Rapport fait à 17:48:28,00, 17/06/2007
Executé à partir de C:\Documents and Settings\mylene_3\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5D3FB7F1-80C0-4686-8808-8442A32772EF}: NameServer=212.216.212.112,212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
as tu encore des signes d'infections? pubs ......
--------------------
tu peux relancer msn fix pour voir si il y a encore le virus
sinon
--------------
avec le scan en ligne si il y a encore virus photoalbum.zip.
tu devrait quelque chose comme ca:
C:\WINDOWS\system32\syshelps.dll
Infecté par: Backdoor.IRCBot.ABDD
C:\WINDOWS\system32\syshelps.dll
Echec de la désinfection
C:\WINDOWS\system32\syshelps.dll
Echec de la suppression
-----------------
telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/
ou fait un scan en ligne et colle le rapport
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
-----------------------------
ou sinon tu recolle un rapport hijackthis et des pros te diront si il y a qq chose
--------------------
tu peux relancer msn fix pour voir si il y a encore le virus
sinon
--------------
avec le scan en ligne si il y a encore virus photoalbum.zip.
tu devrait quelque chose comme ca:
C:\WINDOWS\system32\syshelps.dll
Infecté par: Backdoor.IRCBot.ABDD
C:\WINDOWS\system32\syshelps.dll
Echec de la désinfection
C:\WINDOWS\system32\syshelps.dll
Echec de la suppression
-----------------
telecharge BITDEFENDER FREE , mets le a jour et scan avec
https://www.01net.com/
ou fait un scan en ligne et colle le rapport
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Panda en ligne :
http://pandasoftware.fr
kaspersky en ligne :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
-----------------------------
ou sinon tu recolle un rapport hijackthis et des pros te diront si il y a qq chose
Pour l'instan rien de suspect :)
Voila mon rapport actualisé sur Msnfix :
MSN_Fix 1.324
C:\Documents and Settings\mylene_3\Bureau\MSNFix
Fix exécuté le 17/06/2007 - 18:19:09,81 By mylene_3
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Tout parait normal :)
Un grand merci à toi. Rare sont le personnes aussi rapides et efficaces que toi ;-)
Jte dis pas a+ sinon se serait que j'ai un problème :p
Voila mon rapport actualisé sur Msnfix :
MSN_Fix 1.324
C:\Documents and Settings\mylene_3\Bureau\MSNFix
Fix exécuté le 17/06/2007 - 18:19:09,81 By mylene_3
mode normal
************************ Recherche les fichiers présents
Aucun Fichier trouvé
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Tout parait normal :)
Un grand merci à toi. Rare sont le personnes aussi rapides et efficaces que toi ;-)
Jte dis pas a+ sinon se serait que j'ai un problème :p
