Infecté par Win32:Warezov-BYY ...
Simaco
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Infection par le virus Win32:Warezov-BYY [Wrm]
Bonjour a tous, je n'arrive pas a me débarasser de ce virus : j'ai avast, et j'ai beau envoyer warezov en quarantaine ou le supprimer il revient toujours.
J'ai également essayé de désactiver la restauration automatique ayant trouvé cela comme réponse dans le forum, rien n'y fait.
PS : je ne m'y connais pas vraiment en informatique, ne m'en veuillez pas si je fais des erreurs bêtes...
Merci d'avance pour vos réponses si il y en a.
Bonjour a tous, je n'arrive pas a me débarasser de ce virus : j'ai avast, et j'ai beau envoyer warezov en quarantaine ou le supprimer il revient toujours.
J'ai également essayé de désactiver la restauration automatique ayant trouvé cela comme réponse dans le forum, rien n'y fait.
PS : je ne m'y connais pas vraiment en informatique, ne m'en veuillez pas si je fais des erreurs bêtes...
Merci d'avance pour vos réponses si il y en a.
A voir également:
- Infecté par Win32:Warezov-BYY ...
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Trojan win32 - Forum Virus
- Puadimanager win32/offercore ✓ - Forum Virus
- PUADlManager:Win32/OfferCore ✓ - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
80 réponses
Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE
télécharge HijackThis ici:
https://www.zebulon.fr/telechargements/securite/systeme/hijackthis.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
renomme hijackthis. en "scan" par exemple
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
télécharge HijackThis ici:
https://www.zebulon.fr/telechargements/securite/systeme/hijackthis.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
renomme hijackthis. en "scan" par exemple
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
Salut
Merci beaucoup pour ton accueil et pour ta réponse rapide...
Voila pour le scan :
Logfile of HijackThis v1.99.1
Scan saved at 17:16:21, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime5\qttask.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\c.5.0.exe
C:\WINDOWS\system32\c.6.0.exe
C:\WINDOWS\system32\c.7.0.exe
C:\WINDOWS\system32\systrgapi9.exe
C:\WINDOWS\system32\sysc10trg.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\VTech\Genius XL\pclink.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\svct_32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\system32\c.6.0.exe
O4 - HKLM\..\Run: [nxxdiag] C:\WINDOWS\system32\c.7.0.exe
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\svct_32.exe
O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Simon\Bureau\WinAntiSpyware2006FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [ffndiag] C:\WINDOWS\system32\systrgapi9.exe
O4 - HKLM\..\Run: [yulcgjztmx] c:\windows\system32\yulcgjztmx.exe yulcgjztmx
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\system32\sysc10trg.exe
O4 - HKLM\..\Run: [gqezthuqjl] c:\windows\system32\gqezthuqjl.exe gqezthuqjl
O4 - HKLM\..\Run: [wcnltf] c:\windows\system32\wcnltf.exe wcnltf
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel de connexion PC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108461942593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll
O20 - Winlogon Notify: mag_cscd - C:\WINDOWS\system32\mag_cscd.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Merci beaucoup pour ton accueil et pour ta réponse rapide...
Voila pour le scan :
Logfile of HijackThis v1.99.1
Scan saved at 17:16:21, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime5\qttask.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\c.5.0.exe
C:\WINDOWS\system32\c.6.0.exe
C:\WINDOWS\system32\c.7.0.exe
C:\WINDOWS\system32\systrgapi9.exe
C:\WINDOWS\system32\sysc10trg.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\VTech\Genius XL\pclink.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\svct_32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\system32\c.6.0.exe
O4 - HKLM\..\Run: [nxxdiag] C:\WINDOWS\system32\c.7.0.exe
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\svct_32.exe
O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Simon\Bureau\WinAntiSpyware2006FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [ffndiag] C:\WINDOWS\system32\systrgapi9.exe
O4 - HKLM\..\Run: [yulcgjztmx] c:\windows\system32\yulcgjztmx.exe yulcgjztmx
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\system32\sysc10trg.exe
O4 - HKLM\..\Run: [gqezthuqjl] c:\windows\system32\gqezthuqjl.exe gqezthuqjl
O4 - HKLM\..\Run: [wcnltf] c:\windows\system32\wcnltf.exe wcnltf
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel de connexion PC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108461942593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll
O20 - Winlogon Notify: mag_cscd - C:\WINDOWS\system32\mag_cscd.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
il y as plusieurs infections,
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Voila c'est fait :
Search Navipromo version 2.0.3 commencé le 18/06/2007 à 17:43:28,60
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
WebMediaPlayer 1.0
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
C:\Program Files\WebMediaPlayer trouvé !
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Simon\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\tsjzrb.dat
C:\windows\system32\tsjzrb.exe
c:\WINDOWS\system32\tsjzrb_nav.dat
c:\WINDOWS\system32\tsjzrb_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\tsjzrb.exe
*** Recherche fichiers ***
C:\DOCUME~1\Simon\Bureau\WebMediaPlayer.lnk trouvé !
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\gqezthuqjl.dat trouvé !
C:\WINDOWS\system32\tsjzrb.dat trouvé !
C:\WINDOWS\system32\wcnltf.dat trouvé !
C:\WINDOWS\system32\yulcgjztmx.dat trouvé !
**
C:\WINDOWS\system32\gqezthuqjl.dat trouvé !
C:\WINDOWS\system32\tsjzrb.dat trouvé !
C:\WINDOWS\system32\wcnltf.dat trouvé !
C:\WINDOWS\system32\yulcgjztmx.dat trouvé !
***
****
*****
******
*******
********
C:\WINDOWS\system32\gqezthuqjl.exe trouvé !
*** Analyse Terminé le 18/06/2007 à 18:05:20,09 ***
Search Navipromo version 2.0.3 commencé le 18/06/2007 à 17:43:28,60
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
WebMediaPlayer 1.0
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
C:\Program Files\WebMediaPlayer trouvé !
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Simon\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\tsjzrb.dat
C:\windows\system32\tsjzrb.exe
c:\WINDOWS\system32\tsjzrb_nav.dat
c:\WINDOWS\system32\tsjzrb_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\tsjzrb.exe
*** Recherche fichiers ***
C:\DOCUME~1\Simon\Bureau\WebMediaPlayer.lnk trouvé !
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\gqezthuqjl.dat trouvé !
C:\WINDOWS\system32\tsjzrb.dat trouvé !
C:\WINDOWS\system32\wcnltf.dat trouvé !
C:\WINDOWS\system32\yulcgjztmx.dat trouvé !
**
C:\WINDOWS\system32\gqezthuqjl.dat trouvé !
C:\WINDOWS\system32\tsjzrb.dat trouvé !
C:\WINDOWS\system32\wcnltf.dat trouvé !
C:\WINDOWS\system32\yulcgjztmx.dat trouvé !
***
****
*****
******
*******
********
C:\WINDOWS\system32\gqezthuqjl.exe trouvé !
*** Analyse Terminé le 18/06/2007 à 18:05:20,09 ***
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir. Copie/colle le rapport sur le forum
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre
PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.
Ferme internet explorer puis Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Tu les supprimes.
Remets un log Hijackthis
@+
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir. Copie/colle le rapport sur le forum
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre
PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.
Ferme internet explorer puis Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Tu les supprimes.
Remets un log Hijackthis
@+
Clean Navipromo version 2.0.3 commencé le 18/06/2007 à 18:23:26,70
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\tsjzrb.dat supprimé !
C:\windows\system32\tsjzrb.exe supprimé !
c:\WINDOWS\system32\tsjzrb_nav.dat supprimé !
c:\WINDOWS\system32\tsjzrb_navps.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\tsjzrb.exe absent !
C:\WINDOWS\system32\tsjzrb.dat absent !
C:\WINDOWS\system32\tsjzrb_nav.dat absent !
C:\WINDOWS\system32\tsjzrb_navps.dat absent !
C:\WINDOWS\system32\tsjzrb_navup.dat absent !
C:\WINDOWS\system32\tsjzrb_navtmp.dat absent !
C:\WINDOWS\system32\tsjzrb_m2s.xml absent !
C:\WINDOWS\prefetch\tsjzrb*.pf trouvé !
Copie C:\WINDOWS\prefetch\tsjzrb*.pf réalise avec succes !
C:\WINDOWS\prefetch\tsjzrb*.pf supprimé !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\Simon\Application Data ***
*** Suppression fichiers ***
C:\DOCUME~1\Simon\Bureau\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Simon\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
C:\WINDOWS\System32\gqezthuqjl.dat trouvé !
Copie C:\WINDOWS\system32\gqezthuqjl.dat réalise avec succes !
C:\WINDOWS\system32\gqezthuqjl.dat supprimé !
C:\WINDOWS\System32\wcnltf.dat trouvé !
Copie C:\WINDOWS\system32\wcnltf.dat réalise avec succes !
C:\WINDOWS\system32\wcnltf.dat supprimé !
C:\WINDOWS\System32\yulcgjztmx.dat trouvé !
Copie C:\WINDOWS\system32\yulcgjztmx.dat réalise avec succes !
C:\WINDOWS\system32\yulcgjztmx.dat supprimé !
**
***
****
*****
C:\WINDOWS\System32\wcnltf_nav.dat trouvé !
Copie C:\WINDOWS\system32\wcnltf_nav.dat réalise avec succes !
C:\WINDOWS\system32\wcnltf_nav.dat supprimé !
C:\WINDOWS\System32\yulcgjztmx_nav.dat trouvé !
Copie C:\WINDOWS\system32\yulcgjztmx_nav.dat réalise avec succes !
C:\WINDOWS\system32\yulcgjztmx_nav.dat supprimé !
******
*******
********
C:\WINDOWS\System32\gqezthuqjl.exe trouvé !
Copie C:\WINDOWS\system32\gqezthuqjl.exe réalise avec succes !
C:\WINDOWS\system32\gqezthuqjl.exe supprimé !
3)Contrôle présence clés Rootkit dans le registre :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gqezthuqjl"=C:\WINDOWS\system32\gqezthuqjl.exe gqezthuqjl trouvé !
Nettoyage complémentaire du registre....
*** Nettoyage termine le 18/06/2007 à 18:29:09,29 ***
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\tsjzrb.dat supprimé !
C:\windows\system32\tsjzrb.exe supprimé !
c:\WINDOWS\system32\tsjzrb_nav.dat supprimé !
c:\WINDOWS\system32\tsjzrb_navps.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\tsjzrb.exe absent !
C:\WINDOWS\system32\tsjzrb.dat absent !
C:\WINDOWS\system32\tsjzrb_nav.dat absent !
C:\WINDOWS\system32\tsjzrb_navps.dat absent !
C:\WINDOWS\system32\tsjzrb_navup.dat absent !
C:\WINDOWS\system32\tsjzrb_navtmp.dat absent !
C:\WINDOWS\system32\tsjzrb_m2s.xml absent !
C:\WINDOWS\prefetch\tsjzrb*.pf trouvé !
Copie C:\WINDOWS\prefetch\tsjzrb*.pf réalise avec succes !
C:\WINDOWS\prefetch\tsjzrb*.pf supprimé !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\Simon\Application Data ***
*** Suppression fichiers ***
C:\DOCUME~1\Simon\Bureau\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Simon\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
C:\WINDOWS\System32\gqezthuqjl.dat trouvé !
Copie C:\WINDOWS\system32\gqezthuqjl.dat réalise avec succes !
C:\WINDOWS\system32\gqezthuqjl.dat supprimé !
C:\WINDOWS\System32\wcnltf.dat trouvé !
Copie C:\WINDOWS\system32\wcnltf.dat réalise avec succes !
C:\WINDOWS\system32\wcnltf.dat supprimé !
C:\WINDOWS\System32\yulcgjztmx.dat trouvé !
Copie C:\WINDOWS\system32\yulcgjztmx.dat réalise avec succes !
C:\WINDOWS\system32\yulcgjztmx.dat supprimé !
**
***
****
*****
C:\WINDOWS\System32\wcnltf_nav.dat trouvé !
Copie C:\WINDOWS\system32\wcnltf_nav.dat réalise avec succes !
C:\WINDOWS\system32\wcnltf_nav.dat supprimé !
C:\WINDOWS\System32\yulcgjztmx_nav.dat trouvé !
Copie C:\WINDOWS\system32\yulcgjztmx_nav.dat réalise avec succes !
C:\WINDOWS\system32\yulcgjztmx_nav.dat supprimé !
******
*******
********
C:\WINDOWS\System32\gqezthuqjl.exe trouvé !
Copie C:\WINDOWS\system32\gqezthuqjl.exe réalise avec succes !
C:\WINDOWS\system32\gqezthuqjl.exe supprimé !
3)Contrôle présence clés Rootkit dans le registre :
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gqezthuqjl"=C:\WINDOWS\system32\gqezthuqjl.exe gqezthuqjl trouvé !
Nettoyage complémentaire du registre....
*** Nettoyage termine le 18/06/2007 à 18:29:09,29 ***
J'ai recherché les noms que tu m'a donné et j'ai trouvé electronic group, je l'ai supprimé. Voila mon nouveau log Injackthis :
Logfile of HijackThis v1.99.1
Scan saved at 18:53:02, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\svct_32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\system32\c.6.0.exe
O4 - HKLM\..\Run: [nxxdiag] C:\WINDOWS\system32\c.7.0.exe
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\svct_32.exe
O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Simon\Bureau\WinAntiSpyware2006FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [ffndiag] C:\WINDOWS\system32\systrgapi9.exe
O4 - HKLM\..\Run: [yulcgjztmx] c:\windows\system32\yulcgjztmx.exe yulcgjztmx
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\system32\sysc10trg.exe
O4 - HKLM\..\Run: [wcnltf] c:\windows\system32\wcnltf.exe wcnltf
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel de connexion PC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108461942593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll
O20 - Winlogon Notify: mag_cscd - C:\WINDOWS\system32\mag_cscd.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Logfile of HijackThis v1.99.1
Scan saved at 18:53:02, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\svct_32.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\svchcc32.exe
O4 - HKLM\..\Run: [nssdiag] C:\WINDOWS\c.5.0.exe
O4 - HKLM\..\Run: [nxsdiag] C:\WINDOWS\system32\c.6.0.exe
O4 - HKLM\..\Run: [nxxdiag] C:\WINDOWS\system32\c.7.0.exe
O4 - HKLM\..\Run: [MnEx32] C:\WINDOWS\system32\svct_32.exe
O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Simon\Bureau\WinAntiSpyware2006FreeInstall_fr.exe" -nag
O4 - HKLM\..\Run: [ffndiag] C:\WINDOWS\system32\systrgapi9.exe
O4 - HKLM\..\Run: [yulcgjztmx] c:\windows\system32\yulcgjztmx.exe yulcgjztmx
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\system32\sysc10trg.exe
O4 - HKLM\..\Run: [wcnltf] c:\windows\system32\wcnltf.exe wcnltf
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\system32\flcss.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Error Safe] "C:\Program Files\Error Safe Free\ers.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logiciel de connexion PC.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://www.msn.com/fr-fr/
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108461942593
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll
O20 - Winlogon Notify: mag_cscd - C:\WINDOWS\system32\mag_cscd.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
fait un scan ici
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
Bon, vu le temps que semble mettre le scan n'attends pas mon premier post avant demain...et encore merci pour tout ce que tu as deja fait.
Simaco
Simaco
Changement de programme, le téléchargement dure moins longtempos que prévu. Il reste une dizaine de minutes mais j'ai pu constater que certains fichiers correspondaient a une description :" echec de la desinfection" ou "echec de la supression".
Je l'avais deja remarqué lors de certain avertissements avast ou aucune action n'étais possible hormis ne rien faire....Y a-t-il une action possible?
Simaco
Je l'avais deja remarqué lors de certain avertissements avast ou aucune action n'étais possible hormis ne rien faire....Y a-t-il une action possible?
Simaco
BitDefender Online Scanner
Rapport d'analyse généré à: Mon, Jun 18, 2007 - 20:37:56
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
Statistiques
Temps
01:21:03
Fichiers
218969
Directoires
7660
Secteurs de boot
4
Archives
3607
Paquets programmes
12007
Résultats
Virus identifiés
18
Fichiers infectés
30
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
23
Info sur les moteurs
Définition virus
514154
Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\Documents and Settings\Christine\Application Data\winantispyware2006freeinstall_fr[1].exe
Infecté par: Trojan.Downloader.Winfixer.O
C:\Documents and Settings\Christine\Application Data\winantispyware2006freeinstall_fr[1].exe
Echec de la désinfection
C:\Documents and Settings\Christine\Application Data\winantispyware2006freeinstall_fr[1].exe
Supprimé
C:\RECYCLER\S-1-5-21-1614895754-113007714-839522115-1003\Dc1.exe
Infecté par: Trojan.Downloader.Winfixer.O
C:\RECYCLER\S-1-5-21-1614895754-113007714-839522115-1003\Dc1.exe
Echec de la désinfection
C:\RECYCLER\S-1-5-21-1614895754-113007714-839522115-1003\Dc1.exe
Supprimé
C:\WINDOWS\system32\c.6.0.exe
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\c.6.0.exe
Echec de la désinfection
C:\WINDOWS\system32\c.6.0.exe
Supprimé
C:\WINDOWS\system32\c.7.0.exe
Infecté par: Win32.Warezov.YT
C:\WINDOWS\system32\c.7.0.exe
Echec de la désinfection
C:\WINDOWS\system32\c.7.0.exe
Supprimé
C:\WINDOWS\system32\cnnperf.exe
Infecté par: Worm.Warezov.MG
C:\WINDOWS\system32\cnnperf.exe
Echec de la désinfection
C:\WINDOWS\system32\cnnperf.exe
Supprimé
C:\WINDOWS\system32\confcnn.dll
Infecté par: Worm.Warezov.MG
C:\WINDOWS\system32\confcnn.dll
Echec de la désinfection
C:\WINDOWS\system32\confcnn.dll
Echec de la suppression
C:\WINDOWS\system32\confffn.dll
Infecté par: Worm.Stration.JK
C:\WINDOWS\system32\confffn.dll
Echec de la désinfection
C:\WINDOWS\system32\confffn.dll
Echec de la suppression
C:\WINDOWS\system32\confnxs.dll
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\confnxs.dll
Echec de la désinfection
C:\WINDOWS\system32\confnxs.dll
Echec de la suppression
C:\WINDOWS\system32\confnxx.dll
Infecté par: Win32.Warezov.YR
C:\WINDOWS\system32\confnxx.dll
Echec de la désinfection
C:\WINDOWS\system32\confnxx.dll
Echec de la suppression
C:\WINDOWS\system32\confxxn.dll
Infecté par: Win32.Stration.DAO
C:\WINDOWS\system32\confxxn.dll
Echec de la désinfection
C:\WINDOWS\system32\confxxn.dll
Echec de la suppression
C:\WINDOWS\system32\e1.dll
Infecté par: Win32.Worm.Stration.QRS
C:\WINDOWS\system32\e1.dll
Echec de la désinfection
C:\WINDOWS\system32\e1.dll
Echec de la suppression
C:\WINDOWS\system32\ffnperf.exe
Infecté par: Worm.Stration.JK
C:\WINDOWS\system32\ffnperf.exe
Echec de la désinfection
C:\WINDOWS\system32\ffnperf.exe
Supprimé
C:\WINDOWS\system32\ffnprf32.dll
Infecté par: Worm.Stration.JK
C:\WINDOWS\system32\ffnprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\ffnprf32.dll
Supprimé
C:\WINDOWS\system32\loader.exe
Infecté par: Generic.Malware.dld!!.DFCDD774
C:\WINDOWS\system32\loader.exe
Echec de la désinfection
C:\WINDOWS\system32\loader.exe
Supprimé
C:\WINDOWS\system32\LUS.exe
Infecté par: Trojan.FakeAlert.DS
C:\WINDOWS\system32\LUS.exe
Echec de la désinfection
C:\WINDOWS\system32\LUS.exe
Supprimé
C:\WINDOWS\system32\mag_cscd.dll
Infecté par: DeepScan:Generic.Stration.BBB224D8
C:\WINDOWS\system32\mag_cscd.dll
Echec de la désinfection
C:\WINDOWS\system32\mag_cscd.dll
Echec de la suppression
C:\WINDOWS\system32\nxsperf.exe
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\nxsperf.exe
Echec de la désinfection
C:\WINDOWS\system32\nxsperf.exe
Supprimé
C:\WINDOWS\system32\nxsprf32.dll
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\nxsprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\nxsprf32.dll
Supprimé
C:\WINDOWS\system32\nxxperf.exe
Infecté par: Win32.Warezov.YT
C:\WINDOWS\system32\nxxperf.exe
Echec de la désinfection
C:\WINDOWS\system32\nxxperf.exe
Supprimé
C:\WINDOWS\system32\nxxprf32.dll
Infecté par: Win32.Warezov.YQ
C:\WINDOWS\system32\nxxprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\nxxprf32.dll
Supprimé
C:\WINDOWS\system32\rpcc.dll
Infecté par: Trojan.Proxy.Dlena.CI
C:\WINDOWS\system32\rpcc.dll
Echec de la désinfection
C:\WINDOWS\system32\rpcc.dll
Supprimé
C:\WINDOWS\system32\syncmgr.exe
Infecté par: Win32.Stration.Gen@mm
C:\WINDOWS\system32\syncmgr.exe
Echec de la désinfection
C:\WINDOWS\system32\syncmgr.exe
Supprimé
C:\WINDOWS\system32\sysc10trg.exe
Infecté par: Dropped:Worm.Warezov.MG
C:\WINDOWS\system32\sysc10trg.exe
Echec de la désinfection
C:\WINDOWS\system32\sysc10trg.exe
Supprimé
C:\WINDOWS\system32\systrgapi9.exe
Infecté par: Dropped:Worm.Stration.JK
C:\WINDOWS\system32\systrgapi9.exe
Echec de la désinfection
C:\WINDOWS\system32\systrgapi9.exe
Supprimé
C:\WINDOWS\system32\xxnperf.exe
Infecté par: Win32.Worm.Stration.FQ
C:\WINDOWS\system32\xxnperf.exe
Supprimé
C:\WINDOWS\system32\xxnprf32.dll
Infecté par: Win32.Stration.DAO
C:\WINDOWS\system32\xxnprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\xxnprf32.dll
Supprimé
C:\WINDOWS\xpupdate.exe
Infecté par: Trojan.FakeAlert.DS
C:\WINDOWS\xpupdate.exe
Echec de la désinfection
C:\WINDOWS\xpupdate.exe
Supprimé
E:\Windows\zip1.tmp=>(BASE64)=>document.txt .exe
Infecté par: Win32.Netsky.P@mm
E:\Windows\zip1.tmp=>(BASE64)=>document.txt .exe
Supprimé
E:\Windows\zip1.tmp=>(BASE64)
Mis à jour
E:\Windows\zip1.tmp
Echec de la mise à jour
E:\Windows\zip2.tmp=>(BASE64)=>data.rtf .scr
Infecté par: Win32.Netsky.P@mm
E:\Windows\zip2.tmp=>(BASE64)=>data.rtf .scr
Supprimé
E:\Windows\zip2.tmp=>(BASE64)
Mis à jour
E:\Windows\zip2.tmp
Echec de la mise à jour
E:\Windows\zip3.tmp=>(BASE64)=>details.txt .pif
Infecté par: Win32.Netsky.P@mm
E:\Windows\zip3.tmp=>(BASE64)=>details.txt .pif
Supprimé
E:\Windows\zip3.tmp=>(BASE64)
Mis à jour
E:\Windows\zip3.tmp
Echec de la mise à jour
Voila pour le rapport :)
Rapport d'analyse généré à: Mon, Jun 18, 2007 - 20:37:56
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
Statistiques
Temps
01:21:03
Fichiers
218969
Directoires
7660
Secteurs de boot
4
Archives
3607
Paquets programmes
12007
Résultats
Virus identifiés
18
Fichiers infectés
30
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
23
Info sur les moteurs
Définition virus
514154
Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\Documents and Settings\Christine\Application Data\winantispyware2006freeinstall_fr[1].exe
Infecté par: Trojan.Downloader.Winfixer.O
C:\Documents and Settings\Christine\Application Data\winantispyware2006freeinstall_fr[1].exe
Echec de la désinfection
C:\Documents and Settings\Christine\Application Data\winantispyware2006freeinstall_fr[1].exe
Supprimé
C:\RECYCLER\S-1-5-21-1614895754-113007714-839522115-1003\Dc1.exe
Infecté par: Trojan.Downloader.Winfixer.O
C:\RECYCLER\S-1-5-21-1614895754-113007714-839522115-1003\Dc1.exe
Echec de la désinfection
C:\RECYCLER\S-1-5-21-1614895754-113007714-839522115-1003\Dc1.exe
Supprimé
C:\WINDOWS\system32\c.6.0.exe
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\c.6.0.exe
Echec de la désinfection
C:\WINDOWS\system32\c.6.0.exe
Supprimé
C:\WINDOWS\system32\c.7.0.exe
Infecté par: Win32.Warezov.YT
C:\WINDOWS\system32\c.7.0.exe
Echec de la désinfection
C:\WINDOWS\system32\c.7.0.exe
Supprimé
C:\WINDOWS\system32\cnnperf.exe
Infecté par: Worm.Warezov.MG
C:\WINDOWS\system32\cnnperf.exe
Echec de la désinfection
C:\WINDOWS\system32\cnnperf.exe
Supprimé
C:\WINDOWS\system32\confcnn.dll
Infecté par: Worm.Warezov.MG
C:\WINDOWS\system32\confcnn.dll
Echec de la désinfection
C:\WINDOWS\system32\confcnn.dll
Echec de la suppression
C:\WINDOWS\system32\confffn.dll
Infecté par: Worm.Stration.JK
C:\WINDOWS\system32\confffn.dll
Echec de la désinfection
C:\WINDOWS\system32\confffn.dll
Echec de la suppression
C:\WINDOWS\system32\confnxs.dll
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\confnxs.dll
Echec de la désinfection
C:\WINDOWS\system32\confnxs.dll
Echec de la suppression
C:\WINDOWS\system32\confnxx.dll
Infecté par: Win32.Warezov.YR
C:\WINDOWS\system32\confnxx.dll
Echec de la désinfection
C:\WINDOWS\system32\confnxx.dll
Echec de la suppression
C:\WINDOWS\system32\confxxn.dll
Infecté par: Win32.Stration.DAO
C:\WINDOWS\system32\confxxn.dll
Echec de la désinfection
C:\WINDOWS\system32\confxxn.dll
Echec de la suppression
C:\WINDOWS\system32\e1.dll
Infecté par: Win32.Worm.Stration.QRS
C:\WINDOWS\system32\e1.dll
Echec de la désinfection
C:\WINDOWS\system32\e1.dll
Echec de la suppression
C:\WINDOWS\system32\ffnperf.exe
Infecté par: Worm.Stration.JK
C:\WINDOWS\system32\ffnperf.exe
Echec de la désinfection
C:\WINDOWS\system32\ffnperf.exe
Supprimé
C:\WINDOWS\system32\ffnprf32.dll
Infecté par: Worm.Stration.JK
C:\WINDOWS\system32\ffnprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\ffnprf32.dll
Supprimé
C:\WINDOWS\system32\loader.exe
Infecté par: Generic.Malware.dld!!.DFCDD774
C:\WINDOWS\system32\loader.exe
Echec de la désinfection
C:\WINDOWS\system32\loader.exe
Supprimé
C:\WINDOWS\system32\LUS.exe
Infecté par: Trojan.FakeAlert.DS
C:\WINDOWS\system32\LUS.exe
Echec de la désinfection
C:\WINDOWS\system32\LUS.exe
Supprimé
C:\WINDOWS\system32\mag_cscd.dll
Infecté par: DeepScan:Generic.Stration.BBB224D8
C:\WINDOWS\system32\mag_cscd.dll
Echec de la désinfection
C:\WINDOWS\system32\mag_cscd.dll
Echec de la suppression
C:\WINDOWS\system32\nxsperf.exe
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\nxsperf.exe
Echec de la désinfection
C:\WINDOWS\system32\nxsperf.exe
Supprimé
C:\WINDOWS\system32\nxsprf32.dll
Infecté par: Win32.Warezov.XU@mm
C:\WINDOWS\system32\nxsprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\nxsprf32.dll
Supprimé
C:\WINDOWS\system32\nxxperf.exe
Infecté par: Win32.Warezov.YT
C:\WINDOWS\system32\nxxperf.exe
Echec de la désinfection
C:\WINDOWS\system32\nxxperf.exe
Supprimé
C:\WINDOWS\system32\nxxprf32.dll
Infecté par: Win32.Warezov.YQ
C:\WINDOWS\system32\nxxprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\nxxprf32.dll
Supprimé
C:\WINDOWS\system32\rpcc.dll
Infecté par: Trojan.Proxy.Dlena.CI
C:\WINDOWS\system32\rpcc.dll
Echec de la désinfection
C:\WINDOWS\system32\rpcc.dll
Supprimé
C:\WINDOWS\system32\syncmgr.exe
Infecté par: Win32.Stration.Gen@mm
C:\WINDOWS\system32\syncmgr.exe
Echec de la désinfection
C:\WINDOWS\system32\syncmgr.exe
Supprimé
C:\WINDOWS\system32\sysc10trg.exe
Infecté par: Dropped:Worm.Warezov.MG
C:\WINDOWS\system32\sysc10trg.exe
Echec de la désinfection
C:\WINDOWS\system32\sysc10trg.exe
Supprimé
C:\WINDOWS\system32\systrgapi9.exe
Infecté par: Dropped:Worm.Stration.JK
C:\WINDOWS\system32\systrgapi9.exe
Echec de la désinfection
C:\WINDOWS\system32\systrgapi9.exe
Supprimé
C:\WINDOWS\system32\xxnperf.exe
Infecté par: Win32.Worm.Stration.FQ
C:\WINDOWS\system32\xxnperf.exe
Supprimé
C:\WINDOWS\system32\xxnprf32.dll
Infecté par: Win32.Stration.DAO
C:\WINDOWS\system32\xxnprf32.dll
Echec de la désinfection
C:\WINDOWS\system32\xxnprf32.dll
Supprimé
C:\WINDOWS\xpupdate.exe
Infecté par: Trojan.FakeAlert.DS
C:\WINDOWS\xpupdate.exe
Echec de la désinfection
C:\WINDOWS\xpupdate.exe
Supprimé
E:\Windows\zip1.tmp=>(BASE64)=>document.txt .exe
Infecté par: Win32.Netsky.P@mm
E:\Windows\zip1.tmp=>(BASE64)=>document.txt .exe
Supprimé
E:\Windows\zip1.tmp=>(BASE64)
Mis à jour
E:\Windows\zip1.tmp
Echec de la mise à jour
E:\Windows\zip2.tmp=>(BASE64)=>data.rtf .scr
Infecté par: Win32.Netsky.P@mm
E:\Windows\zip2.tmp=>(BASE64)=>data.rtf .scr
Supprimé
E:\Windows\zip2.tmp=>(BASE64)
Mis à jour
E:\Windows\zip2.tmp
Echec de la mise à jour
E:\Windows\zip3.tmp=>(BASE64)=>details.txt .pif
Infecté par: Win32.Netsky.P@mm
E:\Windows\zip3.tmp=>(BASE64)=>details.txt .pif
Supprimé
E:\Windows\zip3.tmp=>(BASE64)
Mis à jour
E:\Windows\zip3.tmp
Echec de la mise à jour
Voila pour le rapport :)
Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
Voila le rapport demandé :
SmitFraudFix v2.195
Rapport fait à 21:45:46,48, 18/06/2007
Executé à partir de C:\Documents and Settings\Simon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Simon\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
pe386 détecté, utilisez un scanner de Rootkit
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.195
Rapport fait à 21:45:46,48, 18/06/2007
Executé à partir de C:\Documents and Settings\Simon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Simon\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" confnss.dll confnxs.dll confnxx.dll confxxn.dll e1.dll confffn.dll confcnn.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
pe386 détecté, utilisez un scanner de Rootkit
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
ensuite
Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiqueras qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
ensuite
Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiqueras qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
SmitFraudFix v2.195
Rapport fait à 9:50:56,12, 19/06/2007
Executé à partir de C:\Documents and Settings\Simon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Rapport fait à 9:50:56,12, 19/06/2007
Executé à partir de C:\Documents and Settings\Simon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8BCD6CA4-D3A2-4B52-85E0-83FFCC38AC71}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
nouvelles informations : le message d'avast m'informant que le virus win warezov BBY était présent sur mon ordinateur qui avait disparu hier soir a refait surface ce matin...de plus a chaque démarrage windows me demande l'autorisation d'utiliser un fichier nommé flcss.exe.
Bonjour,
pour flcss.exe, tu refuses, c'est un virus.
Tu fais la seconde partie du post 17 (très important)
Tu refais un scan Bit Defender on line.
Tu remets un log Hijackthis.
@+
pour flcss.exe, tu refuses, c'est un virus.
Tu fais la seconde partie du post 17 (très important)
Tu refais un scan Bit Defender on line.
Tu remets un log Hijackthis.
@+
Dsl mais je ne comprend pas bien ce que tu veux dire : la seconde partie du post 17?tu me parle de hijackthis?
Etsinon pour flcss.exe, tu veux me dire qu'a chaque démarrage il va apparaitre?
Simaco
Etsinon pour flcss.exe, tu veux me dire qu'a chaque démarrage il va apparaitre?
Simaco
Re,
au post 17, Rudyrital a écrit ceci :
Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiqueras qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
flcss, on s'en occupera dans la désinfection. mais c'est pas important.
@+
au post 17, Rudyrital a écrit ceci :
Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.
Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiqueras qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports
flcss, on s'en occupera dans la désinfection. mais c'est pas important.
@+
