Souci de cheval de troie

Résolu
pinka01 Messages postés 81 Statut Membre -  
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,
s'il vs plait aider moi j'ai un cheval de troie .

Logfile of HijackThis v1.99.1
Scan saved at 18:20:48, on 02/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WIN-LNA\System32\smss.exe
C:\WIN-LNA\system32\csrss.exe
C:\WIN-LNA\system32\winlogon.exe
C:\WIN-LNA\system32\services.exe
C:\WIN-LNA\system32\lsass.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
C:\WIN-LNA\System32\svchost.exe
C:\WIN-LNA\system32\svchost.exe
c:\assdwk.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
C:\Program LNA\Alwil Software\Avast4\ashServ.exe
C:\Program LNA\Common\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WIN-LNA\system\lsass.exe
C:\WIN-LNA\system32\spoolsv.exe
C:\WIN-LNA\system\lsass.exe
C:\WIN-LNA\system32\ctfmon.exe
C:\Program LNA\SuperCopier2\SuperCopier2.exe
C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WIN-LNA\system32\sjcmvoha.exe
C:\WIN-LNA\system32\cr.exe
C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
C:\WIN-LNA\system32\svchost.exe
C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
C:\WIN-LNA\System32\alg.exe
C:\WIN-LNA\system32\wscntfy.exe
C:\WIN-LNA\system32\nu.exe
C:\Program LNA\Internet Explorer\iexplore.exe
C:\Program LNA\MSN Messenger\msnmsgr.exe
C:\Program LNA\Internet Explorer\iexplore.exe
C:\Program LNA\Common\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WIN-LNA\explorer.exe
C:\Program LNA\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program LNA\Internet Explorer\iexplore.exe
C:\Program LNA\Alwil Software\Avast4\ashSimpl.exe
C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,c:\assdwk.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program LNA\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7A2D856F-E2F0-4B4B-B55D-23FF803C2EE4} - C:\WIN-LNA\system32\geedb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WIN-LNA\system32\tqtavlhk.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program LNA\Common\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program LNA\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program lna\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Lsass Services] C:\WIN-LNA\system\lsass.exe
O4 - HKLM\..\Run: [rmftpvrgccn] C:\WIN-LNA\system32\rmftpvrgccn.exe
O4 - HKLM\..\Run: [Network Translation Service] "c:\assdwk.exe" *
O4 - HKLM\..\Run: [v] C:\WIN-LNA\system32\v.exe
O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe
O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe
O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe
O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe
O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe
O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe
O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WIN-LNA\system32\gbiwcerg.dll",sitypnow
O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe
O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Network Translation Service] "c:\assdwk.exe" *
O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - HKCU\..\Run: [msnmsgr] "C:\Program LNA\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: byxwvvv - C:\WIN-LNA\SYSTEM32\byxwvvv.dll
O20 - Winlogon Notify: efcaaaa - C:\WIN-LNA\SYSTEM32\efcaaaa.dll
O20 - Winlogon Notify: igfxcui - C:\WIN-LNA\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: iifdbab - C:\WIN-LNA\SYSTEM32\iifdbab.dll
O20 - Winlogon Notify: ljjjkkh - C:\WIN-LNA\SYSTEM32\ljjjkkh.dll
O20 - Winlogon Notify: tuvttrr - C:\WIN-LNA\SYSTEM32\tuvttrr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - - C:\WIN-LNA\system32\sjcmvoha.exe
O23 - Service: Print Spooler Service (eahcruy9ea) - Unknown owner - C:\WIN-LNA\system32\mmxhuu.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe

30 réponses

  • 1
  • 2
  1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonsoir,

    Ton PC est très infecté. C'est pas un cheval, mais un haras.

    # Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
    # Double-clique VundoFix.exe afin de le lancer.
    # Clique sur le bouton Scan for Vundo.
    # Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
    # Une invite te demandera si tu veux supprimer les fichiers, clique YES.
    # Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    # Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
    # Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    FillPCA
    0
  2. Utilisateur anonyme
     
    Bonsoir,
    Connecte toi sur : www.virustotal.com
    soumet : c:\assdwk.exe

    si virus, supprimer :
    O4 - HKLM\..\Run: [Network Translation Service] "c:\assdwk.exe" *

    O4 - HKCU\..\Run: [Network Translation Service] "c:\assdwk.exe" *

    Sur hijackthis surpprime (fix checked) :

    C:\WIN-LNA\system32\sjcmvoha.exe

    O2 - BHO: (no name) - {7A2D856F-E2F0-4B4B-B55D-23FF803C2EE4} - C:\WIN-LNA\system32\geedb.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WIN-LNA\system32\tqtavlhk.dll

    O4 - HKLM\..\Run: [Windows Lsass Services] C:\WIN-LNA\system\lsass.exe

    O4 - HKLM\..\Run: [rmftpvrgccn] C:\WIN-LNA\system32\rmftpvrgccn.exe

    O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe

    O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe

    O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe

    O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe

    O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe

    O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe

    O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe

    O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe

    O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WIN-LNA\system32\gbiwcerg.dll",sitypnow

    O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe

    O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe

    O20 - Winlogon Notify: byxwvvv - C:\WIN-LNA\SYSTEM32\byxwvvv.dll

    O20 - Winlogon Notify: efcaaaa - C:\WIN-LNA\SYSTEM32\efcaaaa.dll

    O20 - Winlogon Notify: igfxcui - C:\WIN-LNA\SYSTEM32\igfxsrvc.dll

    O20 - Winlogon Notify: iifdbab - C:\WIN-LNA\SYSTEM32\iifdbab.dll

    O20 - Winlogon Notify: ljjjkkh - C:\WIN-LNA\SYSTEM32\ljjjkkh.dll

    O20 - Winlogon Notify: tuvttrr - C:\WIN-LNA\SYSTEM32\tuvttrr.dll

    O23 - Service: DomainService - - C:\WIN-LNA\system32\sjcmvoha.exe

    23 - Service: Print Spooler Service (eahcruy9ea) - Unknown owner - C:\WIN-LNA\system32\mmxhuu.exe

    OUFFFFFFFFFF
    redemarre l'ordinateur, reposte un rapport, on supprimera les fichiers plus tard !
    0
  3. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonsoir Dorgane,
    Les lignes que tu fais fixer ne disparaitront pas toutes ainsi. C'est Vundo.
    Je m'occupe du sujet.

    FillPCA
    0
  4. pinka01 Messages postés 81 Statut Membre
     
    bsr
    d'acord .merci j veux essayer tes conseils maintenant , mais prq quand je lance le scan avec mon antivirus avast
    il fait un alerte de cheval de troie sur mon pc
    win32.crack search[trj]
    win32.tiny-IF[trj]
    win32 adware_ge
    win32.winfixer.f[trj]
    trojan_gen
    j'ai installé aussi Ad-aware SE pr remove adware mais sans aucun resultats.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    Ces étalons doivent être installés sur ton pc. Quand l'outil scanne les dossiers, il les trouve.
    Désactive temporairement Avast pendant le scan.

    FillPCA
    0
  7. pinka01 Messages postés 81 Statut Membre
     
    bsr
    ben j'i fais cmme vs avez dis. j bloque avast pendant le scan , j'ai aussi abodonnée la connexion( tirer le fil d'internet) puis je recommencer le scan . mais il y a des objes negligeables au resultats . puis j'ai lance le scan avec avast toujours il ya 3 chevaux de troie.
    vraiment j'en ai marre l pc revient trés lourd , je pense de le formater .
    s'il vs plait conseillez moi
    0
  8. pinka01 Messages postés 81 Statut Membre
     
    merci c tres interessants les memes aspects que je constate (declenchement des winativirus, drivecleaner.......)
    alors je dois telecharger vundofix n'est ce pas .
    0
  9. Utilisateur anonyme
     
    ben suis la procédure du site, je vais pas te copier ce qui est déjà ecrit.
    0
  10. pinka01 Messages postés 81 Statut Membre
     
    ben .merci bcp
    j'ai suivis les procedures de sites .et voila le rapport .
    Logfile of HijackThis v1.99.1
    Scan saved at 23:28:35, on 03/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WIN-LNA\System32\smss.exe
    C:\WIN-LNA\system32\csrss.exe
    C:\WIN-LNA\system32\winlogon.exe
    C:\WIN-LNA\system32\services.exe
    C:\WIN-LNA\system32\lsass.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\System32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program LNA\Alwil Software\Avast4\ashServ.exe
    C:\WIN-LNA\Explorer.EXE
    C:\WIN-LNA\system32\spoolsv.exe
    C:\WIN-LNA\system32\rtooqrnonu.exe
    C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
    C:\WIN-LNA\System32\alg.exe
    C:\WIN-LNA\system32\wscntfy.exe
    C:\Program LNA\Common\Real\Update_OB\realsched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WIN-LNA\system\lsass.exe
    C:\assdwk.exe
    C:\WIN-LNA\system\lsass.exe
    C:\WIN-LNA\system32\ctfmon.exe
    C:\Program LNA\SuperCopier2\SuperCopier2.exe
    C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program LNA\Messenger\msmsgs.exe
    C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program LNA\internet explorer\iexplore.exe
    C:\Program LNA\Common\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program LNA\internet explorer\iexplore.exe
    C:\WIN-LNA\system32\jrrywywlesg.exe
    C:\Program LNA\internet explorer\iexplore.exe
    C:\Program LNA\TuneUp Utilities 2006\SystemOptimizer.exe
    C:\Program LNA\TuneUp Utilities 2006\RegistryCleaner.exe
    C:\Program LNA\TuneUp Utilities 2006\DiskCleaner.exe
    C:\Program LNA\Alwil Software\Avast4\ashSimpl.exe
    C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Windows Lsass Services] C:\WIN-LNA\system\lsass.exe
    O4 - HKLM\..\Run: [rmftpvrgccn] C:\WIN-LNA\system32\rmftpvrgccn.exe
    O4 - HKLM\..\Run: [Network Translation Service] "C:\assdwk.exe" *
    O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe
    O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe
    O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe
    O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe
    O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
    O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe
    O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe
    O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
    O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe
    O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe
    O4 - HKLM\..\Run: [mmxhuu] C:\WIN-LNA\system32\mmxhuu.exe
    O4 - HKLM\..\Run: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
    O4 - HKLM\..\Run: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
    O4 - HKLM\..\RunServices: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
    O4 - HKLM\..\RunServices: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Network Translation Service] "C:\assdwk.exe" *
    O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program LNA\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Print Spooler Service (eahcruy9ea) - Unknown owner - C:\WIN-LNA\system32\jrrywywlesg.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    0
  11. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,

    1/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    # Imprime ceci.
    # Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    * Choisis ton compte.

    # Déroule la liste des instructions ci-dessous :

    * En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le script.
    * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    2/ * Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
    * Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
    * Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
    * Ouvre le bloc-note de windows.
    * Copie-colle ces lignes dans la fenêtre du bloc-note :

    OptionUnloadShell

    Processkill \rmftpvrgccn.exe|1
    Processkill \assdwk.exe|1
    Processkill \eeoufextw.exe|1
    Processkill \skqruez.exe|1
    Processkill \mirxiovpeu.exe|1
    Processkill \uupq.exe|1
    Processkill \dzjiiz.exe|1
    Processkill \xfnss.exe|1
    Processkill \qwjwyjbzcs.exe|1
    Processkill \worcfhmkisv.exe|1
    Processkill \cr.exe|1
    Processkill \nu.exe|1
    Processkill \mmxhuu.exe|1
    Processkill \rtooqrnonu.exe|1
    Processkill \jrrywywlesg.exe|1

    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rmftpvrgccn
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|eeoufextw
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|skqruez
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mirxiovpeu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|uupq
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dzjiiz
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xfnss
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qwjwyjbzcs
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|worcfhmkisv
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cr
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|nu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mmxhuu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rtooqrnonu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jrrywywlesg
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|rtooqrnonu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|jrrywywlesg
    RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service

    ServiceStop eahcruy9ea
    ServiceDisable eahcruy9ea
    ServiceDelete eahcruy9ea

    FileDelete %SYSDIR%\rmftpvrgccn.exe
    FileDelete %SYSDIR%\assdwk.exe
    FileDelete %SYSDIR%\eeoufextw.exe
    FileDelete %SYSDIR%\skqruez.exe
    FileDelete %SYSDIR%\mirxiovpeu.exe
    FileDelete %SYSDIR%\uupq.exe
    FileDelete %SYSDIR%\dzjiiz.exe
    FileDelete %SYSDIR%\xfnss.exe
    FileDelete %SYSDIR%\qwjwyjbzcs.exe
    FileDelete %SYSDIR%\worcfhmkisv.exe
    FileDelete %SYSDIR%\cr.exe
    FileDelete %SYSDIR%\nu.exe
    FileDelete %SYSDIR%\mmxhuu.exe
    FileDelete %SYSDIR%\rtooqrnonu.exe
    FileDelete %SYSDIR%\jrrywywlesg.exe

    SystemEmptyTempFolder
    SystemEmptyInternetCache
    SystemEmptyRecycleBin


    * Enregistre le fichier sur le bureau en fix.txt
    * Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
    * Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
    * Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
    * Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
    * Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
    * Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
    * Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
    * Clique sur Execute et laisse-le faire son travail.
    * Attendre que Complete script execution apparaîsse et clique sur OK.
    * Clique Exit pour fermer le programme BFU.
    * Redémarre normalement ton PC.

    3/ * Télécharge navilog1 (Merci il.mafioso!)

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    * Ensuite double clique sur navilog1.exe pour lancer l'installation.

    * Une fois l'installation terminée, le fix s'exécutera automatiquement.

    * (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    * Laisse-toi guider. Au menu principal, choisis 1 et valides.

    /*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

    * Patiente jusqu'au message : *** Analyse terminée le ..... ***

    * Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

    * Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

    * Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    4/ Edite les rapports suivants : SDfix, Navilog et un nouveau rapport Hijackthis.

    FillPCA
    0
  12. pinka01 Messages postés 81 Statut Membre
     
    Bonjour,

    merci encore une fois . voila les rapports:

    sdfix:
    SDFix: Version 1.107

    Run by Administrateur on 04/10/2007 at 10:30

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\ADMINI~1\Bureau\NOUVEA~1\SDFix

    Safe Mode:
    Checking Services:

    Name:
    eahcruy9ea

    ImagePath:
    C:\WIN-LNA\system32\oaag.exe /service

    eahcruy9ea - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WIN-LNA\SYSTEM32\RMFTPV~1.EXE - Deleted
    C:\WIN-LNA\IMG-0012.zip - Deleted
    C:\WIN-LNA\system\lsass.exe - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WIN-LNA
    No streams found.

    C:\WIN-LNA\system32
    No streams found.

    C:\WIN-LNA\system32\svchost.exe
    No streams found.

    C:\WIN-LNA\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\assdwk.exe"="C:\\assdwk.exe:*:Enabled:NTS"
    "C:\\WIN-LNA\\system\\lsass.exe"="C:\\WIN-LNA\\system\\lsass.exe:*:Enabled:Windows Sharing"
    "\\??\\C:\\WIN-LNA\\system32\\winlogon.exe"="\\??\\C:\\WIN-LNA\\system32\\winlogon.exewinlogon.exe:*:Enabled:NTS"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\NOUVEA~1\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Mon 5 May 2003 94,292 ..SH. --- "C:\COMMAND.COM"
    Thu 6 Sep 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Mon 17 Sep 2007 20 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\Real\rhapsody\wmlicbackup\drmv1lic.bak"
    Thu 6 Sep 2007 4,348 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Real\rhapsody\wmlicbackup\drmv1key.bak"
    Fri 17 Aug 2007 312 A.SH. --- "C:\Documents and Settings\Administrateur\Application Data\Real\rhapsody\wmlicbackup\drmv2key.bak"

    Finished!

    puis navilog1Search Navipromo version 3.2.0 commencé le 04/10/2007 à 11:11:59,23

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program LNA\navilog1
    Mise a jour le 30.09.2007 a 18h00 by IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WIN-LNA ***

    *** Recherche dossiers dans C:\Program LNA ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***

    *** Recherche dossiers dans ***

    *** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun fichier trouvé dans :

    - C:\WIN-LNA\system32
    - C:\Documents and Settings\Administrateur\local settings\application data

    *** Recherche avec GenericNaviSearch ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    * Scan C:\WIN-LNA\system32 *

    * Scan C:\Documents and Settings\Administrateur\local settings\application data *

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :

    3)Recherche Certificats :

    Certificat Egroup absent !

    *** Analyse Terminé le 04/10/2007 à 11:12:20,25 ***
    et enfin hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 11:15:39, on 04/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WIN-LNA\System32\smss.exe
    C:\WIN-LNA\system32\csrss.exe
    C:\WIN-LNA\system32\winlogon.exe
    C:\WIN-LNA\system32\services.exe
    C:\WIN-LNA\system32\lsass.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\System32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\assdwk.exe
    C:\WIN-LNA\Explorer.EXE
    C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program LNA\Alwil Software\Avast4\ashServ.exe
    C:\Program LNA\Common\Real\Update_OB\realsched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WIN-LNA\system32\ctfmon.exe
    C:\Program LNA\SuperCopier2\SuperCopier2.exe
    C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program LNA\Messenger\msmsgs.exe
    C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WIN-LNA\system32\spoolsv.exe
    C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
    C:\WIN-LNA\system32\wscntfy.exe
    C:\WIN-LNA\System32\alg.exe
    C:\Program LNA\Internet Explorer\IEXPLORE.EXE
    C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,C:\assdwk.exe
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Network Translation Service] "C:\assdwk.exe" *
    O4 - HKLM\..\Run: [eeoufextw] C:\WIN-LNA\system32\eeoufextw.exe
    O4 - HKLM\..\Run: [skqruez] C:\WIN-LNA\system32\skqruez.exe
    O4 - HKLM\..\Run: [mirxiovpeu] C:\WIN-LNA\system32\mirxiovpeu.exe
    O4 - HKLM\..\Run: [uupq] C:\WIN-LNA\system32\uupq.exe
    O4 - HKLM\..\Run: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
    O4 - HKLM\..\Run: [xfnss] C:\WIN-LNA\system32\xfnss.exe
    O4 - HKLM\..\Run: [qwjwyjbzcs] C:\WIN-LNA\system32\qwjwyjbzcs.exe
    O4 - HKLM\..\Run: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
    O4 - HKLM\..\Run: [cr] C:\WIN-LNA\system32\cr.exe
    O4 - HKLM\..\Run: [nu] C:\WIN-LNA\system32\nu.exe
    O4 - HKLM\..\Run: [mmxhuu] C:\WIN-LNA\system32\mmxhuu.exe
    O4 - HKLM\..\Run: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
    O4 - HKLM\..\Run: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
    O4 - HKLM\..\Run: [fgrsbh] C:\WIN-LNA\system32\fgrsbh.exe
    O4 - HKLM\..\Run: [oaag] C:\WIN-LNA\system32\oaag.exe
    O4 - HKLM\..\RunServices: [rtooqrnonu] C:\WIN-LNA\system32\rtooqrnonu.exe
    O4 - HKLM\..\RunServices: [jrrywywlesg] C:\WIN-LNA\system32\jrrywywlesg.exe
    O4 - HKLM\..\RunServices: [uupq] C:\WIN-LNA\system32\uupq.exe
    O4 - HKLM\..\RunServices: [fgrsbh] C:\WIN-LNA\system32\fgrsbh.exe
    O4 - HKLM\..\RunServices: [oaag] C:\WIN-LNA\system32\oaag.exe
    O4 - HKLM\..\RunServices: [dzjiiz] C:\WIN-LNA\system32\dzjiiz.exe
    O4 - HKLM\..\RunServices: [worcfhmkisv] C:\WIN-LNA\system32\worcfhmkisv.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Network Translation Service] "C:\assdwk.exe" *
    O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: Print Spooler Service (yiy4aygiimyi6) - Unknown owner - C:\WIN-LNA\system32\xfnss.exe
    0
  13. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    On recommence la manip avec Brute Force. As-tu rencontré des problèmes pour sa réalisation ?

    * Imprime ceci.
    * Télécharge Brute Force Uninstaller (de Merijn) : http://www.merijn.org/files/bfu.zip
    * Créé un nouveau dossier directement sur le C:\ et nomme-le BFU.
    * Décompresse le fichier téléchargé dans ce nouveau dossier au moyen d'un clic droit (Extraire vers...C:\BFU).
    * Ouvre le bloc-note de windows.
    * Copie-colle ces lignes dans la fenêtre du bloc-note :

    OptionUnloadShell

    Processkill \assdwk.exe|1
    Processkill \eeoufextw.exe|1
    Processkill \skqruez.exe|1
    Processkill \mirxiovpeu.exe|1
    Processkill \uupq.exe|1
    Processkill \dzjiiz.exe|1
    Processkill \xfnss.exe|1
    Processkill \qwjwyjbzcs.exe|1
    Processkill \worcfhmkisv.exe|1
    Processkill \cr.exe|1
    Processkill \nu.exe|1
    Processkill \mmxhuu.exe|1
    Processkill \rtooqrnonu.exe|1
    Processkill \jrrywywlesg.exe|1
    Processkill \fgrsbh.exe|1
    Processkill \oaag.exe|1

    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|eeoufextw
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|skqruez
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mirxiovpeu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|uupq
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dzjiiz
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xfnss
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|qwjwyjbzcs
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|worcfhmkisv
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|cr
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|nu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mmxhuu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rtooqrnonu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jrrywywlesg
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|fgrsbh
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|oaag
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|rtooqrnonu
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|jrrywywlesg
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|uupq
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|fgrsbh
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|oaag
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|dzjiiz
    RegDelValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices|worcfhmkisv
    RegDelValue HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Network Translation Service

    ServiceStop yiy4aygiimyi6
    ServiceDisable yiy4aygiimyi6
    ServiceDelete yiy4aygiimyi6

    FileDelete %SYSDIR%\eeoufextw.exe
    FileDelete %SYSDIR%\skqruez.exe
    FileDelete %SYSDIR%\mirxiovpeu.exe
    FileDelete %SYSDIR%\uupq.exe
    FileDelete %SYSDIR%\dzjiiz.exe
    FileDelete %SYSDIR%\xfnss.exe
    FileDelete %SYSDIR%\qwjwyjbzcs.exe
    FileDelete %SYSDIR%\worcfhmkisv.exe
    FileDelete %SYSDIR%\cr.exe
    FileDelete %SYSDIR%\nu.exe
    FileDelete %SYSDIR%\mmxhuu.exe
    FileDelete %SYSDIR%\rtooqrnonu.exe
    FileDelete %SYSDIR%\jrrywywlesg.exe
    FileDelete %SYSDIR%\fgrsbh.exe
    FileDelete %SYSDIR%\oaag.exe
    FileDelete %SYSTEMDRIVE%\assdwk.exe

    SystemEmptyTempFolder
    SystemEmptyInternetCache
    SystemEmptyRecycleBin


    * Enregistre le fichier sur le bureau en fix.txt
    * Fais un clic droit sur ce fichier, choisis Renommer et dans la case, indique le nom fix.BFU.
    * Déplace-le dans le même dossier que Brute Force Uninstaller soit dans c:\BFU
    * Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : fix.bfu et BFU.exe (très important).
    * Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 (ou F5); tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.
    * Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU).
    * Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : fix.bfu.
    * Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\fix.bfu
    * Clique sur Execute et laisse-le faire son travail.
    * Attendre que Complete script execution apparaîsse et clique sur OK.
    * Clique Exit pour fermer le programme BFU.
    * Redémarre normalement ton PC.

    Edite aussi un rapport Hijackthis.

    FillPCA
    0
  14. pinka01
     
    ben merci bien ,j'ai suvis les etapes . j'éspére avoir des good news

    Script started at 22:42:25, on 04/10/2007

    Option Unload Explorer: Yes
    Failed: ServiceStop yiy4aygiimyi6 (operation failed)
    Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC1BC.tmp (operation failed)
    Failed: FileDelete C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFC908.tmp (operation failed)
    Script completed.

    et pr le hijackthis est:
    Logfile of HijackThis v1.99.1
    Scan saved at 22:49:56, on 04/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WIN-LNA\System32\smss.exe
    C:\WIN-LNA\system32\csrss.exe
    C:\WIN-LNA\system32\winlogon.exe
    C:\WIN-LNA\system32\services.exe
    C:\WIN-LNA\system32\lsass.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\System32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\WIN-LNA\Explorer.EXE
    C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program LNA\Alwil Software\Avast4\ashServ.exe
    C:\WIN-LNA\system32\spoolsv.exe
    C:\Program LNA\Common\Real\Update_OB\realsched.exe
    C:\Program LNA\Common\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WIN-LNA\system32\ctfmon.exe
    C:\Program LNA\SuperCopier2\SuperCopier2.exe
    C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
    C:\WIN-LNA\system32\svchost.exe
    C:\Program LNA\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe
    C:\WIN-LNA\system32\wscntfy.exe
    C:\WIN-LNA\System32\alg.exe
    C:\WIN-LNA\system32\wuauclt.exe
    C:\Program LNA\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
    C:\Program LNA\internet explorer\iexplore.exe
    C:\Program LNA\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,C:\assdwk.exe
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program lna\google\googletoolbar1.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program LNA\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN-LNA\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program LNA\Common\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\RunServices: [xfnss] C:\WIN-LNA\system32\xfnss.exe
    O4 - HKLM\..\RunServices: [cr] C:\WIN-LNA\system32\cr.exe
    O4 - HKLM\..\RunServices: [skqruez] C:\WIN-LNA\system32\skqruez.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WIN-LNA\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program LNA\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [swg] C:\Program LNA\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program LNA\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] C:\Program LNA\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program LNA\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program LNA\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8A796129-96D9-4DA7-81CD-4846297A732A}: NameServer = 196.217.246.210 212.217.0.13
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program LNA\Common\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\Common\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program LNA\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program LNA\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program LNA\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program LNA\Common\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: olMntrService - Olivetti - C:\Program LNA\Olivetti\ANY_WAY\olMntrService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program LNA\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    0
  15. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,

    C'est mieux, mais il en reste.

    1/ * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

    C:\assdwk.exe
    C:\WIN-LNA\system32\xfnss.exe
    C:\WIN-LNA\system32\cr.exe
    C:\WIN-LNA\system32\skqruez.exe


    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    2/ Ouvre Hijackthis>"Faire une analyse seulement" et coche ceci :
    F2 - REG:system.ini: UserInit=C:\WIN-LNA\system32\userinit.exe,C:\assdwk.exe
    O4 - HKLM\..\RunServices: [xfnss] C:\WIN-LNA\system32\xfnss.exe
    O4 - HKLM\..\RunServices: [cr] C:\WIN-LNA\system32\cr.exe
    O4 - HKLM\..\RunServices: [skqruez] C:\WIN-LNA\system32\skqruez.exe


    Clique sur fix/réparer.

    3/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

    Ouvre Ccleaner, clique sur "lancer le nettoyage".

    4/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    5/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

    6/ Edite les rapport suivants : OTMoveIt, AVGantispyware, Kaspersky et un nouveau rapport Hijackthis.

    FillPCA
    0
  16. pinka01
     
    bjr
    mais lorsque je copie
    C:\assdwk.exe
    C:\WIN-LNA\system32\xfnss.exe
    C:\WIN-LNA\system32\cr.exe
    C:\WIN-LNA\system32\skqruez.exe

    puis je Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results
    il me donne ce msg la
    can not createfile C:\\\_OTMoveIt\MovedFiles \10052007-11548.log.
    0
  17. Utilisateur anonyme
     
    il ne peut pas créer un fichier de log, tu la lancer otmoveit depuis une archive ?
    0
  18. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,
    Il est possible que le script BFU ait déjà supprimé les fichiers sans avoir supprimé les valeurs de registre.

    1/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
    * Cliquer sur outils>options des dossiers>affichage.
    * Sélectionner :
    o afficher les fichiers et dossiers cachés,
    o décocher "masquer les extensions des fichiers dont le type est connu",
    o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

    * "appliquer" et "ok"

    2/ Vérifie si les fichiers précédents ont bien disparu. Si c'est le cas, puorsuis la procédure.

    FillPCA
    0
  19. pinka01
     
    bsr
    quels st les fichiers que je dois verifier qu'ils st disparu?
    j'ai fais ca
    1/ * Ouvrir l'explorateur windows (Démarrer>programmes>Accessoires>Explorateur windows ou Démarrer>programmes>Explorateur windows).
    * Cliquer sur outils>options des dossiers>affichage.
    * Sélectionner :
    o afficher les fichiers et dossiers cachés,
    o décocher "masquer les extensions des fichiers dont le type est connu",
    o décocher masquer les fichiers protégés du système d'exploitation (recommandé)".

    * "appliquer" et "ok"

    et j'ai essayé encore une fois mais camarche pas
    0
  20. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    Ce sont ces fichiers qui ne doivent pas être présents sur ta machine :
    C:\assdwk.exe
    C:\WIN-LNA\system32\xfnss.exe
    C:\WIN-LNA\system32\cr.exe
    C:\WIN-LNA\system32\skqruez.exe


    S'ils sont effectivemement absents, tu reprends la procédure là où tu l'as laissée.

    FillPCA
    0
  • 1
  • 2