NAvilog Fermé

Question

Bonjour,
es-ce que quelqu'un pourrait m'expliquer comment fonctionne le programme Navilog1.
Esce qu'il supprime les fichiers douteux completement ou alors ne fait il que les empecher de se charger au demarrage de l'ordi?

Parce que j'ai essayé et au redemarrage (apres la "desynfection" NAvilog) et bien le fichier virus se recharge.  ??*

jlpjlp · Answer

slt, 

 télécharger sur le bureau 
Navilog.zip 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

= Double-Clic navilog1.zip 
= Extraire tout sur le bureau 
= Double-Clic navilog1 qui est sur le bureau 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 

un rapport : fixnavi.txt dans C : va se creer 
le copier/coller dans ton prochain message. 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau.

orb42 · Answer

Bonjour,
Voilà le log:



Search Navipromo version 3.3.2 commencé le 29/10/2007 à 15:19:55,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***






*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\JEROME~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\JEROME~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 29/10/2007 à 15:20:17,03 ***

orb42 · Answer

en fait j'avais un executable pour installer navilog et le programme s'installe autoatiquement dans C/Program files.   Mais c'est pas sur le bureau comme tu m'avais dis..

jlpjlp · Answer

pas grave
ton rapport navilog est clean: bref rien
tu peux le desinstaller via AJOUT/sUPRRESSION DE PROG



_________________

tu as quoi comme problemes?

orb42 · Answer

et bien j'ai un icone du logiciel "spector" (petit carre rouge) dans la barre des taches.
http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-001/

seulement je n'arrive pas à l'enlever. 
meme apres avoir suivi la procedure sur l'url indiquée ci -dessus.
C'est un vrai casse tete ce truc.

jlpjlp · Answer

colle un rapport hijackthis 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html 


manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html


Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."

___________________
Télécharge MSNFix de Laurent 
http://sosvirus.changelog.fr/MSNFix.zip 

Décompresse-le et double clic sur le fichier MSNFix.bat. 
- Exécute l'option R. 
--Si l'infection est détectée, exécute l'option N 
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum. 

Note : 
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement. 

__________________


AVG antispyware

https://www.01net.com/telecharger/

Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

auror · Answer

bonjour,
mon pc est ralenti je recoi des pubs (je pense des spywares) 
j'ai telecharger navilog j'aura besoin d'un avis

jlpjlp · Answer

télécharger sur le bureau 
Navilog.zip 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

= Double-Clic navilog1.zip 
= Extraire tout sur le bureau 
= Double-Clic navilog1 qui est sur le bureau 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir option 1 

un rapport : fixnavi.txt dans C : va se creer 
le copier/coller dans ton prochain message. 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Tape explorer et valide. Celà te fera apparaitre ton bureau.

orb42 · Answer

Voilà mon log HijackThis: A vous les experts!


Logfile of HijackThis v1.99.1
Scan saved at 19:23:54, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\Explorer.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FCH32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FAMEH32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\MUSIQUE\SONICS~1\SsAAD.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE
D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsus.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\VIDEO\WMedia Player Classic 6.4.8.8.exe
D:\SECURITE\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D6B237A6-DFE1-4816-81EF-960FCD637161} - C:\WINDOWS\system32\consol.dll
O4 - HKLM\..\Run: [OpwareSE2] "D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\MUSIQUE\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [CookiePatrol] D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\SECURITE\Ad-Aware.2007.Pro.7.0.2.1\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\OUTILS\Diskeeper.pro.1st\DkService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

jlpjlp · Answer

Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

__________________


AVG antispyware

https://www.01net.com/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

orb42 · Answer

Voila le log MSNFix 1.556  :  (et je lance un scan AVG ANTISPYWARE pendant ce temps)


 
D:\SECURITE\MSNFix 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
... C:\Temp\ 
 
 
 
 
************************ Suppression des fichiers       
    
 
 
************************ Suppression des dossiers       
 
.. OK ... C:\Temp\   
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 29102007_19530348.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

orb42 · Answer

Apres un scan AVG ANTISPYWARE il a supprimé 2 tracking cookies.....et mon icone SPECTOR Est toujours là.

jlpjlp · Answer

Vas sur le site https://virusscan.jotti.org/ 


- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :


C:\WINDOWS\system32\consol.dll 


- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799 


ou avec :
https://www.virustotal.com/gui/



analyse aussi ce fichier:

c:\windows\system32\sysbot.exe

orb42 · Answer

Scanner results 

File:  consol.dll  
Status:  POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)  
MD5:  64f4e73e8e121c94e53365e7127371f7  
Packers detected:  - 
Bit9 reports:  File not found  


 
Scan taken on 29 Oct 2007 20:03:52 (GMT)  



A-Squared  Found nothing 

AntiVir  Found TR/Trash.Gen  

ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
CPsecure  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
Rising Antivirus  Found nothing 
Sophos Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing

orb42 · Answer

que puis je faire maintenant pour eradiquer TR/Trash.Gen  svp?

orb42 · Answer

Bon et bien comme dans le dernier log on peut voir que j'heberge un troyen  TR/Trash.Gen que reconnait AntiVir,
alors j'ai donc telecharge antivir personal et j'ai eradiqué le troyen. OK POUR CA.

Mais apres un redemarrage, les ennuis sont TOUJOURS là et la fameuse icone SPECTOR de la barre des taches aussi!

Alors j'ai decouvert un truc: Apres un scan avec TROJAN REMOVER il me trouve



O4 - HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe

this command has been left in place [file not found to scan]
et qui revient au demarrage revient meme si je la supprime.

--------------------------------------------------------------
ET

C:\WINDOWS\system32\drivers\ayefppgh.dat
FileSize:          18 688
Date Created:      06/10/2007 07:38:20
Last Modified:     23/10/2007 18:57:30
C:\WINDOWS\system32\drivers\ayefppgh.dat appears to be in-use/locked - scanning skipped.
Key=ykffkcgi
ImagePath=system32\drivers\ayefppgh.dat - Trojan Remover was unable to remove this reference
[ACCESS ERROR]: unable to access the following registry key:
HKLM \SYSTEM\CurrentControlSet\Services\ykffkcgi "ImagePath"

C:\WINDOWS\system32\drivers\ayefppgh.dat - has READ-ONLY attribute set
C:\WINDOWS\system32\drivers\ayefppgh.dat - unable to remove READ-ONLY attribute
C:\WINDOWS\system32\drivers\ayefppgh.dat - has HIDDEN attribute set
C:\WINDOWS\system32\drivers\ayefppgh.dat - unable to remove HIDDEN attribute
C:\WINDOWS\system32\drivers\ayefppgh.dat - has SYSTEM attribute set
C:\WINDOWS\system32\drivers\ayefppgh.dat - unable to remove SYSTEM attribute
C:\WINDOWS\system32\drivers\ayefppgh.dat - unable to take ownership/change permissions (file may not exist)
C:\WINDOWS\system32\drivers\ayefppgh.dat - MoveFileEx call failed
C:\WINDOWS\system32\drivers\ayefppgh.dat has been marked for renaming when the PC is restarted
----------

ET


**************************************************
08:25:08: Scanning ----- BROWSER HELPER OBJECTS -----
C:\WINDOWS\system32\consol.dll - this Browser Helper Object is currently being loaded by the following key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D6B237A6-DFE1-4816-81EF-960FCD637161} - Trojan Remover was unable to remove this key
[ACCESS ERROR]: unable to access the following registry key:
HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D6B237A6-DFE1-4816-81EF-960FCD637161}
C:\WINDOWS\system32\consol.dll - this Browser Helper Object is referenced by the following key:
HKEY_CLASSES_ROOT\CLSID\{D6B237A6-DFE1-4816-81EF-960FCD637161} - Trojan Remover was unable to remove this key
C:\WINDOWS\system32\consol.dll - unable to take ownsership/change permissions
C:\WINDOWS\system32\consol.dll - MoveFileEx call failed (in ForceRename)
C:\WINDOWS\system32\consol.dll has been marked for renaming when the PC is restarted (if it exists)
----------


ET ICI JE NE SAURAIS DIRE SI C'EST CLEAN OU NON: 

**************************************************
------ INTERNET EXPLORER HOME/START/SEARCH SETTINGS ------
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\"Start Page":
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\"Local Page":
C:\windows\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\"Search Page":
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\"Default_Page_URL":
http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\"Default_Search_URL":
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\"CustomizeSearch":
https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\"SearchAssistant":
https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page":
https://www.google.fr/?gws_rd=ssl
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Local Page":
C:\windows\system32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Search Page":
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

 

Comment faire pour supprimer ce fichier "ayefppgh.dat".
Meme Trojan remover n'y arrive pas.
Quand je soummet le fichier a un antivirus en ligne il mets:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

S'IL VOUS PLAIT AIDEZ MOI ou je vais achever mon pc.

orb42 · Answer

The following file is called at boot time by the windows registry:
C:\WINDOWS\system32\drivers\ayefppgh.dat

The program is called from the registry key:
HKLM\SYSTEM\CurrentControlSet\Services\ykffkcgi

jlpjlp · Answer

tu n'as pas analysé sysbot pour voir ce que c'est


avec :
https://www.virustotal.com/gui/



analyse aussi ce fichier:

c:\windows\system32\sysbot.exe




____________

combofix (colle le rapport)

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


__________________

recolle nesuite un rapport hijackthis et on fera le menage

orb42 · Answer

Bonjour, 1. Je n'ai plus le fichier SYSBOT.EXE sur l'ordi pour l'analyser en ligne!.Je l'avais dejà supprimé. Voir içi pour plus d'infos sur le fichier (c'est un fichier du keylogger SPECTOR je presume): http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-001/ Seulement la clé SYSBOT dans la base de registre revient toujours meme si je la supprime: HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe 2.Apres un LOG COMBOFIX l'icone SPECTOR De la barre des taches a disparue: ------------------------------------ LOG COMBOFIX ------------------------------------ ComboFix 07-10-29.1** - JEROME & CLAIRE 2007-10-30 9:31:21.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.604 [GMT 1:00] Running from: D:\DOCS\LOGICIELS\___LOGICIELS\INTERNET\ANTISPYWARE\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-09-28 to 2007-10-30 )))))))))))))))))))))))))))))))))))) . 2007-10-29 23:18 d-------- C:\WINDOWS\system32\xircom 2007-10-29 23:03 d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic 2007-10-29 19:56 C:\Documents and Settings\JEROME 2007-10-29 19:56 CLAIRE\Application Data\Grisoft 2007-10-29 19:56 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-10-29 18:40 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-10-28 19:38 d-------- C:\WINDOWS\system32\NtmsData 2007-10-28 01:12 1,693,696 --a------ C:\WINDOWS\system32\ltclr13n.dll 2007-10-28 01:12 155,648 --a------ C:\WINDOWS\system32\lftif13n.dll 2007-10-28 01:12 98,304 --a------ C:\WINDOWS\system32\lffax13n.dll 2007-10-28 01:11 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll 2007-10-28 01:11 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll 2007-10-28 01:11 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll 2007-10-28 01:11 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll 2007-10-28 01:11 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll 2007-10-28 01:11 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll 2007-10-28 01:11 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll 2007-10-28 01:11 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll 2007-10-27 23:42 d-------- C:\WINDOWS\AU_Temp 2007-10-27 23:42 d-------- C:\WINDOWS\AU_Log 2007-10-27 23:41 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2007-10-27 23:40 286,720 --a------ C:\WINDOWS\PATCH.EXE 2007-10-27 23:40 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2007-10-27 21:50 d-------- C:\Documents and Settings\Administrateur\Application Data\Simply Super Software 2007-10-27 21:40 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-10-27 21:40 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-10-27 21:40 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-10-27 21:40 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-10-27 18:09 51,040 --a------ C:\WINDOWS\system32\drivers\fsdfw.sys 2007-10-27 18:09 30,016 --a------ C:\WINDOWS\system32\drivers\fsndis5.sys 2007-10-27 09:08 d-------- C:\Documents and Settings\All Users\Application Data\Avg7 2007-10-26 20:03 C:\Documents and Settings\JEROME 2007-10-26 20:03 CLAIRE\Recent 2007-10-26 09:06 77,312 --a------ C:\WINDOWS\ua2.dll 2007-10-24 21:33 d-------- C:\Program Files\F-Secure 2007-10-24 20:46 d-------- C:\Program Files\hp deskjet 920c series 2007-10-24 20:46 d-------- C:\Program Files\Hewlett-Packard 2007-10-24 19:27 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-15 13:03 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2007-10-14 23:53 C:\Documents and Settings\JEROME 2007-10-14 23:53 CLAIRE\Application Data\Simply Super Software 2007-10-14 23:53 d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software 2007-10-14 22:16 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll 2007-10-14 22:16 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll 2007-10-14 22:16 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll 2007-10-14 22:14 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-10-14 21:18 d-------- C:\Program Files\Panda Security 2007-10-14 18:50 2,290 --a------ C:\WINDOWS\system32 mp.reg 2007-10-14 18:41 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2007-10-14 18:41 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-10-14 18:41 d--h----- C:\Documents and Settings\Administrateur\Modèles 2007-10-14 18:41 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-10-14 18:41 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2007-10-14 18:41 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-10-14 18:41 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-10-14 11:22 C:\Documents and Settings\JEROME 2007-10-14 11:22 CLAIRE\Application Data\F-Secure 2007-10-14 11:12 d-------- C:\Documents and Settings\All Users\Application Data\F-Secure 2007-10-14 10:07 36 -r-h----- C:\WINDOWS\sued.dat 2007-10-13 19:16 d-------- C:\Documents and Settings\All Users\Application Data\Prevx 2007-10-13 08:09 10,027 --a------ C:\WINDOWS\system32\mspriv32.dll 2007-10-13 08:01 10,053 --a------ C:\WINDOWS\system32\msrep32.dll 2007-10-12 07:59 d-------- C:\Documents and Settings\All Users\Application Data\fssg 2007-10-11 16:11 d-------- C:\WINDOWS\Sun 2007-10-06 07:38 18,688 C:\WINDOWS\system32\drivers\ayefppgh.dat 2007-10-06 07:38 5,120 C:\WINDOWS\system32\drivers\jjgkcwhv.dat 2007-10-04 22:40 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-10-04 14:00 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2007-09-23 18:59 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-09-13 22:18 d----c--- C:\WINDOWS\system32\DRVSTORE 2007-09-13 22:18 C:\Documents and Settings\JEROME 2007-09-13 22:18 CLAIRE\Contacts 2007-09-13 00:27 0 --a------ C:\WINDOWS\shadtxt.dat 2007-09-13 00:24 d-------- C:\WINDOWS\ShInfo 2007-09-13 00:09 d--h----- C:\WINDOWS\system32\WebExt 2007-09-13 00:02 155,648 --a------ C:\WINDOWS\system32\shmswnrc.dll 2007-09-13 00:02 53,248 --a------ C:\WINDOWS\system32\shmswnmp.dll 2007-09-11 11:28 471,040 --a------ C:\WINDOWS\system32\Achroma2.dll 2007-09-11 11:05 d-------- C:\Program Files\TRELLIAN 2007-09-06 22:18 C:\Documents and Settings\JEROME 2007-09-06 22:18 CLAIRE\Downloads 2007-09-06 22:18 C:\Documents and Settings\JEROME 2007-09-06 22:18 CLAIRE\Application Data\NewsLeecher 2007-09-03 09:22 d-------- C:\Program Files\QuickTime 2007-09-03 08:08 C:\Documents and Settings\JEROME 2007-09-03 08:08 CLAIRE\Application Data\Thunderbird 2007-09-03 08:08 C:\Documents and Settings\JEROME 2007-09-03 08:08 CLAIRE\Application Data\Mozilla 2007-09-03 07:47 C:\Documents and Settings\JEROME 2007-09-03 07:47 CLAIRE\Application Data\Talkback 2007-09-03 07:47 0 --a------ C:\WINDOWS sreg.dat . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-29 18:56 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\Grisoft 2007-10-29 17:33 --------- d-----w C:\Program Files\MSN Messenger 2007-10-25 18:31 --------- d-----w C:\Program Files\Fichiers communs\LightScribe 2007-10-24 20:47 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\LimeWire 2007-10-24 16:54 --------- d-----w C:\Program Files\CCleaner 2007-10-15 12:02 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2007-10-15 12:02 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\Lavasoft 2007-10-14 22:53 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\Simply Super Software 2007-10-14 10:23 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\F-Secure 2007-10-10 18:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink 2007-09-20 11:43 253,952 ----a-w C:\WINDOWS\system32\Photomatix25Lib2.dll 2007-09-17 14:02 266,240 ----a-w C:\WINDOWS\system32\Photomatix25Lib.dll 2007-09-06 21:18 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\NewsLeecher 2007-09-06 03:35 95,525 ----a-w C:\WINDOWS\system32\Photomatix25Lib3.dll 2007-09-03 07:09 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\Thunderbird 2007-09-03 06:47 --------- d-----w C:\Documents and Settings\JEROME & CLAIRE\Application Data\Talkback 2007-07-31 11:38 36,697 ----a-w C:\WINDOWS\system32\OggDSUninst.exe 2007-07-09 17:42 147,456 ----a-w C:\WINDOWS\system32\vbzip10.dll 2007-05-26 16:54 87,608 ----a-w C:\Documents and Settings\JEROME & CLAIRE\Application Data\ezpinst.exe 2007-05-26 16:54 47,360 ----a-w C:\Documents and Settings\JEROME & CLAIRE\Application Data\pcouffin.sys 2005-10-07 18:14:52 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll 2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll 2005-12-15 12:00:00 617,472 --sha-w C:\WINDOWS\system32\comctl32.dll 2005-06-26 14:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll 2005-06-21 21:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll 2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll 2005-12-15 12:00:00 57,344 --sha-w C:\WINDOWS\system32\mfc42loc.dll 1995-09-20 14:16:28 35,088 --sha-w C:\WINDOWS\system32\msjint32.dll 1995-09-20 14:13:24 977,680 --sha-w C:\WINDOWS\system32\msjt3032.dll 1995-09-20 14:16:28 23,824 --sha-w C:\WINDOWS\system32\msjter32.dll 2005-12-15 12:00:00 413,696 --sha-w C:\WINDOWS\system32\msvcp60.dll 2005-12-15 12:00:00 253,952 --sha-w C:\WINDOWS\system32\msvcrt20.dll 2006-04-27 09:24:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll 2005-12-15 12:00:00 30,749 --sha-w C:\WINDOWS\system32\vbajet32.dll 2005-02-28 12:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe 2004-01-25 17:18:44 70,656 --sha-w C:\WINDOWS\system32\yv12vfw.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6B237A6-DFE1-4816-81EF-960FCD637161}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "OpwareSE2"="D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe" [2003-05-08 11:00] "SsAAD.exe"="D:\MUSIQUE\SONICS~1\SsAAD.exe" [2007-07-20 09:36] "Launch PC Probe II"="C:\Program Files\ASUS\PC Probe II\Probe2.exe" [2006-01-18 17:09] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-03 09:22] "F-Secure Manager"="D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.exe" [2007-05-25 14:12] "F-Secure TNB"="D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2007-05-25 14:11] "PestPatrolCL"="" [] "CookiePatrol"="D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe" [2005-01-10 09:35] "!AVG Anti-Spyware"="D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-29 23:07] "TrojanScanner"="D:\SECURITE\Trojan.Remover.6.6.2\Trojan Remover\Trjscan.exe" [2007-08-29 19:30] "sysbot"="c:\windows\system32\sysbot.exe" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion unonce] "nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" "nlhr"=RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf lite.inf,C "tscuninstall"=%systemroot%\system32 scupgrd.exe C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Acrobat Assistant.lnk.disabled [2007-01-27 08:55:12] Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-01-27 09:21:06] Microsoft Office.lnk.disabled [2007-03-27 09:43:27] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoNetworkConnections"=1 (0x1) "NoSetActiveDesktop"=1 (0x1) "NoStartMenuNetworkPlaces"=1 (0x1) "NoRecentDocsHistory"=1 (0x1) "MaxRecentDocs"=0 (0x0) "NoBandCustomize"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoNetworkConnections"=1 (0x1) "NoSetActiveDesktop"=1 (0x1) "NoStartMenuNetworkPlaces"=1 (0x1) "NoRecentDocsHistory"=1 (0x1) "MaxRecentDocs"=0 (0x0) "NoMovingBands"=0 (0x0) "NoCloseDragDropBands"=0 (0x0) "NoBandCustomize"=0 (0x0) "DisallowRun"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "DisallowRun"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun] "1"=consol.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{CA2DB500-5ECF-11D2-B28F-0080C8383C7B}"= c:\windows\system32\shmswnrc.dll [1999-03-25 09:00 155648] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "OPSE reminder"="D:\OUTILS\Scanner.Omnipage\EregFre\Ereg.exe" -r "D:\OUTILS\Scanner.Omnipage\EregFre\ereg.ini" "PhiBtn"=%SystemRoot%\System32\drivers\PhiBtn.exe "SoundMan"=SOUNDMAN.EXE "NVIDIA nTune"="C:\Program Files\NVIDIA Corporation Tune\nTune.exe" clear "Traymin900"=%SystemRoot%\System32\drivers\Tray900.exe "DiskeeperSystray"="D:\OUTILS\Diskeeper.pro.1st\DkIcon.exe" "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys R0 trm3x5;trm3x5;C:\WINDOWS\system32\DRIVERS rm3x5.sys R0 ykffkcgi;ykffkcgi;C:\WINDOWS\system32\drivers\ayefppgh.dat R1 F-Secure HIPS;F-Secure HIPS;\??\D:\SECURITE\F-Secure.2008\F-Secure Internet Security\HIPS\fshs.sys R1 ISODrive;ISO DVD/CD-ROM Device Driver;\??\D:\OUTILS\UltraISO Premium Edition 8.6.3\UltraISO\drivers\ISODrive.sys R3 camvid40;Philips SPC 900NC PC Camera;C:\WINDOWS\system32\DRIVERS\camdrv41.sys R3 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys S3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys S4 F-Secure Filter;F-Secure File System Filter;\??\D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys S4 F-Secure Recognizer;F-Secure File System Recognizer;\??\D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-30 09:32:37 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-30 9:33:18 . --- E O F ---

orb42 · Answer

LOG HIJACKTHIS::



Logfile of HijackThis v1.99.1
Scan saved at 09:37:29, on 30/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FCH32.EXE
D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe
D:\MUSIQUE\SONICS~1\SsAAD.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FAMEH32.EXE
D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsus.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
D:\SECURITE\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D6B237A6-DFE1-4816-81EF-960FCD637161} - C:\WINDOWS\system32\consol.dll (file missing)
O4 - HKLM\..\Run: [OpwareSE2] "D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\MUSIQUE\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [CookiePatrol] D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] D:\SECURITE\Trojan.Remover.6.6.2\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\SECURITE\Ad-Aware.2007.Pro.7.0.2.1\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\OUTILS\Diskeeper.pro.1st\DkService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

jlpjlp · Answer

fix ces lignes avec hijackthis (fix cheked):


O2 - BHO: (no name) - {D6B237A6-DFE1-4816-81EF-960FCD637161} - C:\WINDOWS\system32\consol.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)



_______________________






télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 


C:\WINDOWS\system32\drivers\ayefppgh.dat
C:\WINDOWS\system32\consol.dll 
c:\windows\system32\sysbot.exe 


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 


____________________

smit fraud fix (colle le rapport)

1/ telecharger :
http://telechargement.zebulon.fr/smitfraudfix.html 



2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes. une fois le rapport effectué redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) 

____________________

 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 


 Panda en ligne : 
http://pandasoftware.fr

_________________________

recolle hijackthis et dis tes pbs

orb42 · Answer

SmitFraudFix v2.242

Rapport fait à 10:01:07,84, 30/10/2007
Executé à partir de D:\SECURITE\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe
D:\MUSIQUE\SONICS~1\SsAAD.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE
D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FCH32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FAMEH32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsus.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32






»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEROME~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A046F607-457A-4F85-A26E-DB0AB62E9007}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A046F607-457A-4F85-A26E-DB0AB62E9007}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A046F607-457A-4F85-A26E-DB0AB62E9007}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A046F607-457A-4F85-A26E-DB0AB62E9007}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jlpjlp · Answer

le rapport OTMoveIt?  il a resussi a les virer?

orb42 · Answer

au redemarrage j'avais une box windows me disant qu'il me fallait un ou plusieurs fichiers necessaires au bon fonctionnement de windows et il me proposait de les recuperer sur le cd windows : j'ai inseré le cd mais il n'a pas voulu le prendre ni parcouru a la recherche. Du coup j'ai dit non et une boite de dial me demande si je souhaite conserver les anciens fichiers, et la j'ai repondu OUI.

Et au redemarrage j'ai toujours l'icone SPECTOR de la barre des taches.

La je vais redemarrer en safe mode mais pour faire un scan en ligne aussi? ?   Faut choisir le safe mode avec prise en charge reseau pour acceder au NET??

Merci

jlpjlp · Answer

non fais le scan en ligne en mode normal ca ira

orb42 · Answer

Pour le log OTMOVEIT  ca m'avait mis ca:

File move failed. C:\WINDOWS\system32\drivers\ayefppgh.dat scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\consol.dll not found.
File/Folder c:\windows\system32\sysbot.exe not found.
 
Created on 10/30/2007 10:10:42


et il me demandait de redemarrer...


voilà bon je suis dsl je vais partir au taff de suite.
MERCI BEAUCOUP POUR TON AIDE.    Je serais en ligne ce soir passé 19h. Merci encore.

jlpjlp · Answer

ok laisse tourner le scan en ligne  et colle le rapport du scan ainsi qu'un rapport hijackthis ce soir

a plus

orb42 · Answer

-----------------------------------------
LOG  BitDefender Online Scanner
 ---------------------------------------- 
  
 Rapport d'analyse généré à: Tue, Oct 30, 2007 - 22:08:16
  
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;
 
Statistiques
 
Temps 00:51:27
Fichiers 399435
Directoires 7991
Secteurs de boot 6
Archives 14434
Paquets programmes 24496
 
  
  
 
Résultats
 
Virus identifiés 1
Fichiers infectés 1
Fichiers suspects 0
Avertissements 0
Désinfectés 0
Fichiers effacés 1
 
 
Paramètres d'analyse
 
Première action Désinfecté
Seconde Action Supprimé
Heuristique Oui
Acceptez les avertissements Oui
Extensions analysées *;
Excludez les extensions
  
Analyse d'emails Oui
Analyse des Archives Oui
Analyser paquets programmes Oui
Analyse des fichiers Oui
Analyse de boot Oui
 
  
  
 
  Fichier analysé
  Statut
 
D:\DOCS\LOGICIELS\___LOGICIELS\INTERNET\ANTITROJAN\IParmor.5.39\IParmor5.39.exe=>(Instyler o)=>(Instyler Module 14)
 Infecté par: Trojan.Pws.Hooker.P
 
D:\DOCS\LOGICIELS\___LOGICIELS\INTERNET\ANTITROJAN\IParmor.5.39\IParmor5.39.exe=>(Instyler o)=>(Instyler Module 14)
 Echec de la désinfection
 
D:\DOCS\LOGICIELS\___LOGICIELS\INTERNET\ANTITROJAN\IParmor.5.39\IParmor5.39.exe=>(Instyler o)=>(Instyler Module 14)
 Supprimé
 
D:\DOCS\LOGICIELS\___LOGICIELS\INTERNET\ANTITROJAN\IParmor.5.39\IParmor5.39.exe=>(Instyler o)
 Echec de la mise à jour
 
 

***********************************************
************************************************
**************************************************
***************************************************





LOGFILE  of HIJACKTHIS v1.99.1

Scan saved at 22:17:58, on 30/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\MUSIQUE\SONICS~1\SsAAD.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMB32.EXE
D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FCH32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FAMEH32.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\SECURITE\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D6B237A6-DFE1-4816-81EF-960FCD637161} - C:\WINDOWS\system32\consol.dll (file missing)
O4 - HKLM\..\Run: [OpwareSE2] "D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\MUSIQUE\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [CookiePatrol] D:\SECURITE\PESTPA~1.8\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: d:\securite\f-secure.2008\f-secure internet security\fsps\program\fslsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\SECURITE\Ad-Aware.2007.Pro.7.0.2.1\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\OUTILS\Diskeeper.pro.1st\DkService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\SECURITE\F-Secure.2008\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

jlpjlp · Answer

slt


vire ce fichier: dans poste de travail puis D....   si present:

D:\DOCS\LOGICIELS\___LOGICIELS\INTERNET\ANTITROJAN\IParmor.5.39\IParmor5.39.exe

______________

demarre en mode sans echec puis fix ces lignes:

O2 - BHO: (no name) - {D6B237A6-DFE1-4816-81EF-960FCD637161} - C:\WINDOWS\system32\consol.dll (file missing)
O4 - HKLM\..\Run: [OpwareSE2] "D:\OUTILS\Scanner.Omnipage\OpwareSE2.exe"n
O4 - HKLM\..\Run: [sysbot] c:\windows\system32\sysbot.exe 

__________________

redemarre
puis fais demarrer puis EXECUTER  et   tape     msconfig    ensuite dans l'onglet demarrer supprime   sysbot et ce que tu ne veux pas au demarrage


_______________

colle le rapport d'un scan antivir pour voir

__________________


tu as antivir et f secure, il ne faut garder qu'n seul antivirus, si tu paye garde f secure

___________________


encore des pbs?

recolle hijackthis