Virus "Search Daily"
jack_007
Messages postés
34
Statut
Membre
-
philae83 Messages postés 12854 Statut Contributeur sécurité -
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour,
Voici mon problème: j'ai attrapé un virus et lors de mes recherches sur google, il me renvoit vers une page "search-daily.com".
J'aimerais connaitre la procédure à suivre pour enlever cette plaie.
Merci d'avance,
Jack
P.S: J'avais déjà essayé une soluce trouvé dans des forums mais malheuresement après, mon ordi s'est mis a buggé( merci la restauration système : )
Voici mon problème: j'ai attrapé un virus et lors de mes recherches sur google, il me renvoit vers une page "search-daily.com".
J'aimerais connaitre la procédure à suivre pour enlever cette plaie.
Merci d'avance,
Jack
P.S: J'avais déjà essayé une soluce trouvé dans des forums mais malheuresement après, mon ordi s'est mis a buggé( merci la restauration système : )
Configuration: Windows XP Internet Explorer 6.0
35 réponses
- 1
- 2
Suivant
-
bonjour,
quel solution as tu essayée ?
* Télécharge HijackThis et poste le rapport stp
hijackthis
* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici -
voici le log D'HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 17:47:03, on 16/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Program Files\Winamp\winamp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\HiJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -
tu n'as pas répondu à ma question : quelle manip as tu déjà essayée ?
-
re
Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Dsl pour le retard, j'ai eu des soucis connexions sur le site, j'ai du me réauthentifié c'est bizarre
Voici le rapport VundoFix:
VundoFix V6.5.0
Checking Java version...
Scan started at 21:03:13 17/06/2007
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.0
Checking Java version...
Scan started at 21:10:40 17/06/2007
Listing files found while scanning....
Beginning removal...
VundoFix V6.5.0
Checking Java version...
Scan started at 12:06:15 2007-10-15
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.10
Checking Java version...
Scan started at 18:14:38 16/10/2007
Listing files found while scanning....
C:\windows\system32\FM20FRAk.dll
Beginning removal...
Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Voici le log HiJackThis
Logfile of HijackThis v1.99.1
Scan saved at 18:33:19, on 16/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\HiJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32\rpcc.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -
non c'est pas étonnant, il y a eu un petit bug un court moment
Tu n'as toujours pas répondu à ma question tu ne la vois pas ? ca fait 2 x que je te la pose.
MERCI D Y REPONDRE STP
-
oui oui pardon mais je me souviens pu des noms des logiciels.
-
ok tant pis
je regarde tes précédents rapports, je reviens ensuite
-
re
ton xp n'est pas à jour.
renomme HJT en jack.exe
puis
* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
* Redémarre ton ordinateur en mode sans échec
* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,
et
* Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :
C:\WINDOWS\System32\syssetupb.dll
c:\windows\system32\fm20frak.dll
* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix,
puis
* lance hijackthis puis coche ces lignes
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
* toutes applications fermées et hors connexion, clique sur "fixer objet"
reposte un nouveau rapport hijackthis avec HJT renommé ainsi que le rapport de vundo
-
Voici le rapport SDFIX:
SDFix: Version 1.109
Run by Patrice on 16/10/2007 at 21:43
Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Les deux lignes ajoutées a Vundo n'ont pas pu etre supprimées. Que faire? -
le rapport SDFix n'est pas entier
recommence stp
ensuite poste les rapports avec les manips, on verra ensuite
-
Je n'ai rien d'autre d'écrit sur le rapport, je recommences la manip.
-
tu le lances bien en mode sans échec ?
-
Oui en mode sans échec, je viens de reesayer et rien de nouveau.
-
décidément ce soir tous les softs ont décidés d'être récalcitrants avec moi :)
reposte rapport vundo après dernière manip et un nouveau rapport HJT
-
Voici le rapport Vundo:
VundoFix V6.5.0
Checking Java version...
Scan started at 21:03:13 17/06/2007
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.0
Checking Java version...
Scan started at 21:10:40 17/06/2007
Listing files found while scanning....
Beginning removal...
VundoFix V6.5.0
Checking Java version...
Scan started at 12:06:15 2007-10-15
Listing files found while scanning....
No infected files were found.
VundoFix V6.5.10
Checking Java version...
Scan started at 18:14:38 16/10/2007
Listing files found while scanning....
C:\windows\system32\FM20FRAk.dll
Beginning removal...
Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete C:\windows\system32\FM20FRAk.dll
C:\windows\system32\FM20FRAk.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete c:\windows\system32\fm20frak.dll
c:\windows\system32\fm20frak.dll Could not be deleted.
Attempting to delete C:\WINDOWS\System32\syssetupb.dll
C:\WINDOWS\System32\syssetupb.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete c:\windows\system32\fm20frak.dll
c:\windows\system32\fm20frak.dll Could not be deleted.
Attempting to delete C:\WINDOWS\System32\syssetupb.dll
C:\WINDOWS\System32\syssetupb.dll Could not be deleted.
Performing Repairs to the registry.
Done!
Beginning removal...
le log hijack
Logfile of HijackThis v1.99.1
Scan saved at 22:58:51, on 16/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Netropa\Touch Manager\MEDIACTR.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\NETROPA\ONSCRE~1\OSD.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Netropa\Touch Manager\MMUSBKB2.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\HiJack\Jack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1636FDA8-5F11-418D-AB43-22D93B418309} - c:\windows\system32\fm20frak.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43} - C:\WINDOWS\System32\syssetupb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58327FE9-7445-4455-92D3-6BC2BC61FED0}: NameServer = 212.151.137.170 212.151.136.246
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: hhqnzfiz - C:\WINDOWS\SYSTEM32\fm20frak.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -
re
ok
* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double clique combofix.exe.
* Tape sur la touche Y (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
ainsi qu'un nouveau rapport hijackthis
-
Bonjour,
Je me souviens avoir déja utiliser ce programme. Voici le rapport:
ComboFix 07-10-17.8 - Patrice 2007-10-17 10:10:17.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.330 [GMT 2:00]
Running from: D:\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\System32\FM20FRAk.dll . . . . Echec de suppression
C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression
C:\WINDOWS\System32\FM20FRAk.dll . . . . Echec de suppression
C:\WINDOWS\system32\fm20frak.dll . . . . Echec de suppression
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_MLRFIXFB
-------\mlrfixfb
((((((((((((((((((((((((((((( Fichiers créés 2007-09-17 to 2007-10-17 ))))))))))))))))))))))))))))))))))))
.
2007-10-17 10:08 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage r‚seau
2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Voisinage d'impression
2007-10-16 22:24 <REP> d--h----- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\ModŠles
2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Mes documents
2007-10-16 22:24 <REP> dr------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Menu D‚marrer
2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Favoris
2007-10-16 22:24 <REP> d-------- C:\Documents and Settings\Administrateur.PATRICE-G03QP8A\Bureau
2007-10-16 21:57 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-10-16 21:49 1,422 --a------ C:\Documents and Settings\Patrice.PATRICE-G03QP8A\clean.reg
2007-10-16 21:42 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-16 18:14 <REP> d-------- C:\VundoFix Backups
2007-10-15 18:45 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-10-15 18:45 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-10-15 12:38 <REP> d-------- C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\Grisoft
2007-10-14 19:54 <REP> d-------- C:\Documents and Settings\Administrateur\ModŠles
2007-10-14 19:15 1,188,375 --a------ C:\WINDOWS\system32\libeay32(2)(2).dll
2007-10-14 19:15 246,545 --a------ C:\WINDOWS\system32\libssl32(2)(2).dll
2007-10-14 18:32 741,632 --a------ C:\WINDOWS\system32\hzfenqke.dat
2007-10-14 18:32 118,528 --a------ C:\WINDOWS\system32\jblbrfvm.dat
2007-10-14 18:32 41,728 --a------ C:\WINDOWS\system32\ibhjagqo.dat
2007-10-14 18:32 35,584 --a------ C:\WINDOWS\system32\sfcmnbjw.dat
2007-10-14 18:32 34,560 --a------ C:\WINDOWS\system32\mprqkgge.dat
2007-10-14 17:47 <REP> d-------- C:\WINDOWS\system32\AppCert
2007-10-14 17:46 92,672 --a------ C:\WINDOWS\system32\syssetupb.dll
2007-10-14 17:46 81,408 --a------ C:\WINDOWS\system32\FM20FRAk.dll
2007-10-14 14:03 93,184 --a------ C:\WINDOWS\system32\mpruio.dll
2007-10-14 14:03 17,792 C:\WINDOWS\system32\drivers\zaidqyzz.dat
2007-10-11 19:18 27 --a------ C:\WINDOWS\mscpt.dat
2007-10-11 19:06 57,344 --a------ C:\WINDOWS\system32\WNASPINT.DLL
2007-10-11 18:50 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
2007-10-11 18:50 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
2007-10-09 16:52 <REP> d-------- C:\eJay
2007-10-09 16:52 307,200 --a------ C:\WINDOWS\system32\fxstudio.dll
2007-10-09 16:52 282,624 --a------ C:\WINDOWS\system32\animation2.dll
2007-10-09 16:52 159,744 --a------ C:\WINDOWS\system32\DartSock.dll
2007-10-09 16:52 106,496 --a------ C:\WINDOWS\system32\DartWeb.dll
2007-10-09 16:52 78,085 --a------ C:\WINDOWS\system32\pattern.dat
2007-10-09 16:51 97,280 --a------ C:\WINDOWS\system32\ccrpbds5.dll
2007-09-21 17:29 <REP> d--hs---- C:\FOUND.007
2007-09-20 21:15 <REP> d-------- C:\Program Files\Ontrack
2007-09-19 10:46 <REP> d-------- C:\Program Files\directx
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-12 11:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple
2007-09-06 15:31 --------- d-----w C:\Documents and Settings\Patrice.PATRICE-G03QP8A\Application Data\GeoVid
2007-09-06 15:24 --------- d-----w C:\Program Files\GeoVid
2007-09-06 15:24 --------- d-----w C:\Program Files\Fichiers communs\GeoVid
2007-08-24 10:19 19,968 --sha-w C:\Program Files\Thumbs.db
2007-08-12 11:59 4,112,760 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2007-07-24 13:43 41,984 ----a-w C:\WINDOWS\qucltext.exe
2007-07-19 22:57 267,112 ----a-w C:\WINDOWS\system32\xactengine2_9.dll
2007-07-19 16:14 444,776 ----a-w C:\WINDOWS\system32\d3dx10_35.dll
2007-07-19 16:14 3,727,720 ----a-w C:\WINDOWS\system32\d3dx9_35.dll
2007-07-19 16:14 1,358,192 ----a-w C:\WINDOWS\system32\D3DCompiler_35.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1636FDA8-5F11-418D-AB43-22D93B418309}]
2007-10-15 18:49 81408 --a------ c:\windows\system32\fm20frak.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4D33E5E-49D0-4B8E-9C7B-DD86D3631B43}]
2001-09-28 12:00 92672 --a------ C:\WINDOWS\System32\syssetupb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"Touch Manager"="C:\Program Files\Netropa\Touch Manager\TouchMgr.exe" [1999-11-19 16:56]
"SoundMan"="SOUNDMAN.EXE" [2003-01-07 12:09 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-02-13 14:46]
"nwiz"="nwiz.exe" [2004-03-24 10:04 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-02-13 14:46]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 18:09]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" []
"Steam"="" []
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
@=
R0 kgmwgqeu;kgmwgqeu;C:\WINDOWS\System32\drivers\zaidqyzz.dat
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\System32\DRIVERS\msikbd2k.sys
R3 fhlppppoe;PPPOE/ADSL miniport;C:\WINDOWS\System32\DRIVERS\fhlpppoe.sys
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-26 20:38:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-17 10:14:28
Windows 5.1.2600 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-10-17 10:15:13 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-14 19:33
.
--- E O F ---
Comment faire pour virer ces deux dll.??? -
bonjour,
ah oui d'accord .... même combo n'en vient pas à bout.
Je vais regarder plus en détail le rapport de combo dans l'après midi, dans l'immédiat, je n'ai pas le temps.
je repasserais plus tard avec des consignes
-
bonsoir,
je ne t'ai pas oublié, néanmoins j'ai besoin d'une petite confirmation pour une ligne à mettre dans un script
je pense l'avoir d'ici ce soir ou en soirée
@ + tard
- 1
- 2
Suivant