Probleme pubs et spyware, besoin d'experts! - Page 2

Résolu
Précédent
  • 1
  • 2
  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    voilà

    * redémarre ton ordi en mode sans échec
    http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

    et

    * lance hijackthis "do a system scan only" puis coche :

    O4 - HKLM\..\Run: [0B55340967017A232855] Rundll32.exe "C:\WINDOWS\system32\ovyrrcml.dll",s

    * clique sur FIX CHECKED

    puis

    redémarre normalement et

    Sélectionne le texte suivant :

    driver::
    fuckoff1
    
    file::
    C:\WINDOWS\system32\ovyrrcml.xml
    C:\WINDOWS\system32\zkqcpjmx.dll
    C:\WINDOWS\system32\zkqcpjmx.xml
    C:\WINDOWS\system32\ltbgwdeo.dll
    C:\WINDOWS\system32\ltbgwdeo.xml 
    C:\WINDOWS\system32\imeqlruu.dll 
    C:\WINDOWS\system32\okyigsjx.ini 
    C:\WINDOWS\syss.html 
    C:\ReymiXEngine\reymixddk.sys
    
    registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuuvsp]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] 
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] 
    
    


    # Copie le texte sélectionné (CTRL+C).
    # Ouvre le bloc-note (programme>Accessoire>bloc-note).
    # Colle le texte copié dans ce bloc-note (CTRL+V).
    # Sauvegarde ce fichier sous le nom de CFScript.txt
    # Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
    # Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    # Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    # Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
    # Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    ainsi qu'un nouveau rapport hijackthis

    0
  2. Nomad-cube
     
    Excuse moi mais j'ai été très pris pour les préparatifs du réveillon. Je fais ces manips et te poste les rapports demain matin.

    Encore merci c'est génial de pouvoir surfer normalement!
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    oui mais ne tarde pas trop à terminer les manips sous peine d'avoir tout à recommencer

    à demain
    0
  4. Nomad-cube
     
    Bonjour,

    Voici les rapports demandés!

    Combofix:

    ComboFix 07-12-21.4 - Jérémy 2007-12-31 13:44:39.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.76 [GMT 1:00]
    Running from: C:\Documents and Settings\Jérémy\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Jérémy\Bureau\CFScript.txt
    * Created a new restore point

    FILE
    C:\ReymiXEngine\reymixddk.sys
    C:\WINDOWS\syss.html
    C:\WINDOWS\system32\imeqlruu.dll
    C:\WINDOWS\system32\ltbgwdeo.dll
    C:\WINDOWS\system32\ltbgwdeo.xml
    C:\WINDOWS\system32\okyigsjx.ini
    C:\WINDOWS\system32\ovyrrcml.xml
    C:\WINDOWS\system32\zkqcpjmx.dll
    C:\WINDOWS\system32\zkqcpjmx.xml
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\syss.html
    C:\WINDOWS\system32\imeqlruu.dll
    C:\WINDOWS\system32\ltbgwdeo.dll
    C:\WINDOWS\system32\ltbgwdeo.xml
    C:\WINDOWS\system32\okyigsjx.ini
    C:\WINDOWS\system32\ovyrrcml.xml
    C:\WINDOWS\system32\zkqcpjmx.dll
    C:\WINDOWS\system32\zkqcpjmx.xml

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_FUCKOFF1
    -------\fuckoff1

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-30 15:29 . 2007-06-21 18:59 58,776 --a------ C:\WINDOWS\system32\ijjiPlugin2.dll
    2007-12-30 13:06 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-12-30 13:06 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-12-30 13:06 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-12-30 13:06 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-12-30 13:06 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-12-30 13:06 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-12-30 13:06 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-12-29 13:48 . 2007-12-29 13:49 <REP> d-------- C:\WINDOWS\ERUNT
    2007-12-28 21:14 . 2007-12-28 21:14 <REP> d-------- C:\VundoFix Backups
    2007-12-28 15:02 . 2007-12-28 15:02 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-28 13:36 . 2007-12-28 22:32 <REP> d-------- C:\Program Files\Navilog1
    2007-11-27 07:44 . 2007-12-12 17:32 143 --a------ C:\WINDOWS\system32\mcrh.tmp
    2007-11-18 20:22 . 2007-11-18 20:22 <REP> d-------- C:\Program Files\Windows Live Favorites
    2007-11-11 16:22 . 2007-12-22 19:51 228 --a------ C:\WINDOWS\wininit.ini
    2007-11-08 14:23 . 2007-12-29 00:07 <REP> d-------- C:\Program Files\ApplePie

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-30 14:14 --------- d-----w C:\Program Files\Steam
    2007-12-28 14:01 --------- d-----w C:\Program Files\Windows Live Safety Center
    2007-11-30 08:40 --------- d-----w C:\Program Files\Windows Live Toolbar
    2007-11-29 21:46 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-11-29 21:44 --------- d-----w C:\Program Files\Yahoo!
    2007-11-18 15:47 --------- d-----w C:\Program Files\IDoser v4
    2007-11-14 11:44 --------- d-----w C:\Program Files\Java
    2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-29_ 0.30.46.24 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2007-06-21 16:59:34 943,512 ----a-w C:\WINDOWS\Downloaded Program Files\ijjistarter2.exe
    + 2007-10-31 09:27:02 929,792 ----a-w C:\WINDOWS\Downloaded Program Files\ijjistarter2.exe
    + 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\29-12-2007\ERDNT.EXE
    + 2007-12-29 14:39:56 11,214,848 ----a-w C:\WINDOWS\erdnt\29-12-2007\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-12-29 14:39:56 147,456 ----a-w C:\WINDOWS\erdnt\29-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
    + 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\AutoBackup\29-12-2007\ERDNT.EXE
    + 2007-12-29 20:20:23 11,210,752 ----a-w C:\WINDOWS\erdnt\AutoBackup\29-12-2007\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-12-29 20:20:24 147,456 ----a-w C:\WINDOWS\erdnt\AutoBackup\29-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
    + 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\AutoBackup\30-12-2007\ERDNT.EXE
    + 2007-12-30 10:01:34 11,214,848 ----a-w C:\WINDOWS\erdnt\AutoBackup\30-12-2007\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-12-30 10:01:34 147,456 ----a-w C:\WINDOWS\erdnt\AutoBackup\30-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
    + 2005-10-20 11:02:28 163,328 ----a-w C:\WINDOWS\erdnt\AutoBackup\31-12-2007\ERDNT.EXE
    + 2007-12-31 09:50:51 11,231,232 ----a-w C:\WINDOWS\erdnt\AutoBackup\31-12-2007\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-12-31 09:50:51 147,456 ----a-w C:\WINDOWS\erdnt\AutoBackup\31-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
    + 2007-12-29 06:04:43 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    + 2007-12-29 12:49:19 11,210,752 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-12-29 12:49:19 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
    + 2007-12-29 06:04:43 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    + 2007-12-29 12:49:01 11,210,752 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat
    + 2007-12-29 12:49:02 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
    + 2007-12-31 12:50:27 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5ac.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
    "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59]
    "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 08:20]
    "Steam"="" []
    "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" []

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []
    "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 15:24 C:\WINDOWS\system32\Ati2mdxx.exe]
    "ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-08-12 21:10]
    "EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 05:00]
    "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2003-09-15 14:58]
    "LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2001-09-24 08:39]
    "Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 17:36]
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "OneClick"="C:\Program Files\oneclick\oneclick.exe" [2004-12-13 12:22]
    "StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 01:01]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
    "W2acecad.Wtxpload"="C:\WINDOWS\W2acecad\Wtxpload.exe" [2000-05-21 01:00]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=sockspy.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
    backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
    backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    S3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2003-04-18 12:45]
    S3 dump_wmimmc;dump_wmimmc;C:\ijji\ENGLISH\Gunz\GameGuard\dump_wmimmc.sys []
    S3 ESISTEMA53;ESISTEMA53;C:\Program Files\RuanEngine\sistema32.sys []
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
    S3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys [2001-09-24 08:39]
    S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2006-05-09 16:50]
    S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys [2001-09-24 08:42]
    S3 SilverLink;Texas Instruments SilverLink (USB GraphLink) Cable;C:\WINDOWS\system32\Drivers\SilvrLnk.sys [2002-10-22 03:15]
    S3 W2acehid;ACECAD HID;C:\WINDOWS\system32\DRIVERS\w2acehid.sys [2000-07-14 12:41]
    S3 XDva006;XDva006;C:\WINDOWS\system32\XDva006.sys []
    S3 XDva007;XDva007;C:\WINDOWS\system32\XDva007.sys []
    S3 XDva009;XDva009;C:\WINDOWS\system32\XDva009.sys []
    S3 ZD1201U;Stick USB 802.11b OLITEC Driver;C:\WINDOWS\system32\DRIVERS\zd1201u.sys [2003-08-06 16:25]
    S4 Wtcls2k;WtCls2k;C:\WINDOWS\system32\DRIVERS\wtcls2k.sys [2000-08-02 18:03]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2007-12-31 12:24:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-31 13:51:03
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-31 13:54:48 - machine was rebooted
    .
    2007-12-29 20:25:12 --- E O F ---

    HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:55:55, on 31/12/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wintab32.exe
    C:\WINDOWS\system32\fxssvc.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [Adobe Photo Downloader] ; "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [ATIModeChange] ; Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] ; C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] ; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
    O4 - HKLM\..\Run: [InCD] ; C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [LVCOMS] ; C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] ; C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [NeroCheck] ; C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [OneClick] ; "C:\Program Files\oneclick\oneclick.exe"
    O4 - HKLM\..\Run: [StorageGuard] ; "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SunJavaUpdateSched] ; "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [W2acecad.Wtxpload] ; C:\WINDOWS\W2acecad\Wtxpload.exe acecad
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WMPNSCFG] ; C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKCU\..\Run: [Steam] ;
    O4 - HKCU\..\Run: [updateMgr] ; "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
    O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
    O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
    O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BF546560-EA9C-4E73-A1DA-D65AF83FF641}: NameServer = 192.168.0.13
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
    O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\System32\wintab32.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    * télécharge
    http://ww1.kellys-korner-xp.com/regs_edits/WINFILE.EXE

    * lance le puis
    Menu View -> "By File Type" -> Coche "Show Hidden/System Files"

    utilise l'arborescence pour aller dans
    C:\windows\downloaded program files puis tu supprimes

    C:\WINDOWS\Downloaded Program Files\ijjistarter2.exe

    ensuite tu vas supprimer ceci :

    C:\WINDOWS\system32\ijjiPlugin2.dll

    (je ne sais plus si tu l'as utilisé ou pas, je n'ai pas recherché)
    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    C:\WINDOWS\system32\ijjiPlugin2.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    @ + tard
    0
  7. Nomad-cube
     
    Par contre je connais et j'utilise très souvent ijji lol

    ça fait deux années que je l'utilise et mes problèmes ont commencé il y a deux semaines. Je doute que ça vienne de là :)
    0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    alors laisse

    sinon où en es tu ? tjs les mêmes problèmes ?
    0
    1. cgui33 Messages postés 1176 Statut Membre 10
       
      Salut Philae
      Eh bien voilà les fichiers sont partis ... bien joué.
      Question con : il a quoi comme parefeu ???

      A+
      0
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > cgui33 Messages postés 1176 Statut Membre
         
        coucou

        je suppose celui du SP2
        0
  9. Nomad-cube
     
    Mes problèmes ont tout simplement disparus :D

    Un grand merci à vous deux!

    Par contre que me conseillez vous comme logiciels pour garder mon pc sain?
    0
  10. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    voilà une bonne chose. Tu termines bien l'année.

    alors petit résumé tout de même pour ne pas laisser ton pc encombré de choses inutiles

    Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
    http://perso.orange.fr/AceRothstein/ToolsCleaner2.exe
    # Double clique sur ToolsCleaner2.exe >
    # Clique sur .Recherche
    # puis sur Suppression quand la liste est trouvée.
    # Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

    CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
    Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

    Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

    ENSUITE IMPORTANT

    * démarrer-----------panneau de configuration------------système----------
    onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------
    redémarre l'ordinateur
    réactive la ensuite
    http://pageperso.aol.fr/loraline60/desactiver_restauration_systeme.htm

    .

    * Pour améliorer la sécurité de ton PC prend quelques instants pour lire

    CECI

    également tu trouveras pas mal de choses et de liens intéressants

    ICI

    et pour finir

    * Dénonce ton infection pour faire condamner les auteurs.
    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
    http://www.malwarecomplaints.info/viewforum.php?f=10&sid=729c1f0b85cc61ee53a6f83b21b69e89

    Tuto pour dénoncer ton infection
    http://pageperso.aol.fr/loraline60/malware_complaints.htm

    je te souhaite un Joyeux Réveillon et une Bonne Année 2008 sans malwares.

    0
  11. cgui33 Messages postés 1176 Statut Membre 10
     
    Salut

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.
    Double-clique sur HJTInstall.exe pour lancer le programme
    Installe le programmme sur c:\ et lance le
    Choisis l'option "Do a system scan and save a log file"
    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    Colle le rapport
    A+
    -1
  12. cgui33 Messages postés 1176 Statut Membre 10
     
    Salut

    Avec HijackThis :
    Do a system scan only
    Coche ces lignes :

    R3 - URLSearchHook: {B5AB638F-D76C-415B-A8F2-F3CEAC502212} - - (no file)
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - https://www.afternic.com/domains/downloadv3.com

    Et clic sur Fix checked

    Ensuite :
    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    Double-clique VundoFix.exe afin de le lancer.

    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.
    Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

    Tu pourras même remettre un rapoport Hijack
    Merci
    A+
    Je crains que ce ne soit pas fini !
    Je vais regarder à ça en attendant tes rapports
    -1
  13. cgui33 Messages postés 1176 Statut Membre 10
     
    Salut
    Avec HijackThis :
    Do a system scan only
    Coches ces lignes

    O2 - BHO: SysApp - {4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D} - C:\Program Files\ApplePie\ie-improver.dll
    O2 - BHO: (no name) - {79BEC705-D8A5-4E32-B9F3-F9D39043CE98} - C:\WINDOWS\system32\pmkjh.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: {350c3a0d-f1e9-8689-a524-5f1c12d4ec1c} - {c1ce4d21-c1f5-425a-9868-9e1fd0a3c053} - C:\WINDOWS\system32\drgrmjbp.dll (file missing)
    O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

    Et clic sur Fix checked

    Va dans le menu Config (en bas à droite)
    BP Misc tools
    BP Delete a file on reboot
    Sélectionne C:\Program Files\ApplePie\ie-improver.dll
    Valide
    Reboot le PC
    Je te prépare autre chose car tu as d'autres problèmes !
    A+
    Poste un nouveau log pour me faire signe
    -1
  14. cgui33 Messages postés 1176 Statut Membre 10
     
    Re
    Télécharge combofix sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    IMPORTANT
    désactive ton antivirus, durant l'utilisation de ComboFix ( Tu réactiveras après)
    puis
    Double clique combofix.exe
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    et reposte un nouveau rapport hijackthis stp
    A+
    -1
  15. cgui33 Messages postés 1176 Statut Membre 10
     
    Salut
    Effectivement ce que je craignais est arrivé ... toujours infecté !

    Je reprends une aide donnée par Philae83 (merci pour elle)

    Télécharge SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    Redémarre ton ordinateur en mode sans échec (tapote sur F8 au démarrage ... tu auras plusierus choix de démarrage !)

    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
    Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,
    avec un nouveau log Hijackthis

    En espérant que cela fonctionne ... mais ne t'inquiètes pas, d'autres plus expérimentés que moi sauront te sortir de là !
    A+
    -1
  16. cgui33 Messages postés 1176 Statut Membre 10
     
    Re
    Non toujours là ces m@@@es ... mais ne désespère pas !
    Je reviens dans 1/2h
    A+
    -1
  17. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    SDFix ne nous est d'aucune utilité ici.

    je vais regarder ton rapport combo, il y a encore du boulot.

    J'aimerais également que tu fasses ceci :

    Télécharge System Repair Engineer - SREng (par Smallfrogs) de ce lien:
    http://www.kztechs.com/eng/download.html
    Extrais tout son contenu sur ton Bureau
    (clic droit sur le fichier .zip >> "Extraire tout...")
    Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
    Clique sur Smart Scan
    Ensuite, clique sur le bouton [Scan]. L'analyse durera quelques instants.

    Lorsque complété, clique sur le bouton [Save Reports]
    Sauvegarde le rapport sur ton Bureau
    Copie/colle le contenu du fichier SREnglLOG.log dans ta prochaine réponse, s'il te plaît.

    -1
    1. cgui33 Messages postés 1176 Statut Membre 10
       
      Merci Philae de t'occuper de ce cas !
      Je pensais lui faire lancer un script sous DOS mais je suppose que tu auras la solution.
      Je suis l'évolution du pb
      A+
      -1
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > cgui33 Messages postés 1176 Statut Membre
         
        de rien
        script sous dos : je ne connais pas et ne sais pas non + si ce serait efficace ou non pour son problème.
        Je pense qu'on devrait finir par y arriver avec combo
        -1
  18. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    sais tu ce qu'est ce dossier
    AOInstall16.2.0_EP0_live_nointro

    et ceci :
    C:\Program Files\RuanEngine

    j'ai néanmoins qq doutes sur certains drivers, faudrait que je fasse une recherche + approfondie

    tu vas télécharger ERUNT pour sauvegarder ta base de registre avant de faire les manips qui suivent. C'est IMPORTANT

    https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
    tuto
    http://pageperso.aol.fr/loraline60/tuto_erunt.htm

    ensuite

    * désactive le résident de spybot :
    clic droit sur l'icone à côté de l'horloge (systray) du résident-------quitter le programme

    ensuite

    * lance hijackthis "do a system scan only" puis coche ces lignes :

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.microsoft.com/fr-fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [e0ce4ee4] rundll32.exe "C:\WINDOWS\system32\gkgcidfj.dll",b
    O4 - HKLM\..\Run: [0B55340967017A232855] Rundll32.exe "C:\WINDOWS\system32\ovyrrcml.dll",s
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
    O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
    O16 - DPF: {20050325-D35A-4233-926E-2E801AE25949} (NMJPStarter15 Class) - http://www.netmarble.co.jp/_common/cab/NMStarterJP5.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - https://www.fileplanet.com/
    O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/12c33e5d76c5c9047019/netzip/RdxIE601_fr.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
    O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DD583921-A9E9-4FBF-9266-8DC2AB5EA0AF} (HGPlugin10USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin10USA.cab
    O20 - Winlogon Notify: wvuuvsp - wvuuvsp.dll (file missing)

    * toutes applications fermées et HORS CONNEXION, clique sur FIX CHECKED

    PUIS

    Sélectionne le texte suivant :

    file::
    C:\WINDOWS\system32\qygercjg.dll 
    C:\WINDOWS\system32\qygercjg.xml 
    C:\WINDOWS\system32\cjlrhfcx.dll 
    C:\WINDOWS\system32\cjlrhfcx.xml 
     C:\WINDOWS\system32\dwwpjlbs.ini 
     C:\WINDOWS\system32\imeqlruu.xml 
    C:\WINDOWS\system32\fpcvmguf.dll 
    C:\WINDOWS\system32\fpcvmguf.xml 
    C:\WINDOWS\system32\rlluzzdd.dll 
    C:\WINDOWS\system32\rlluzzdd.xml 
    C:\WINDOWS\system32\wrnxqhlv.ini 
    C:\WINDOWS\system32\xowgktvd.dll 
    C:\WINDOWS\system32\xowgktvd.xml 
    C:\WINDOWS\system32\ivxblydk.ini 
    C:\WINDOWS\system32\hkdrtdtm.dll 
    C:\WINDOWS\system32\hkdrtdtm.xml 
    C:\WINDOWS\system32\hkdrtdtm.xml 
    C:\WINDOWS\pskt.ini 
    C:\WINDOWS\system32\kcehsfjt.ini 
    :\WINDOWS\system32\okyigsjx.ini 
    C:\WINDOWS\system32\jlndbilj.ini 
    C:\WINDOWS\system32\aqcicxcw.ini 
    C:\WINDOWS\system32\xhhxmfho.ini 
    C:\WINDOWS\system32\vxyrwpgu.ini 
    :\WINDOWS\syss.html 
    C:\WINDOWS\syst.html 
    C:\WINDOWS\system32\dokxktln.ini 
    C:\WINDOWS\system32\kemicumk.ini 
    C:\WINDOWS\system32\gakdutcv.ini 
    C:\WINDOWS\system32\butcvxho.ini 
    C:\WINDOWS\system32\tdtibyvg.ini
    C:\WINDOWS\system32\ovyrrcml.dll
    
    registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
    C:\WINDOWS\system32\gkgcidfj.dll=-
    
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuuvsp]


    # Copie le texte sélectionné (CTRL+C).
    # Ouvre le bloc-note (programme>Accessoire>bloc-note).
    # Colle le texte copié dans ce bloc-note (CTRL+V).
    # Sauvegarde ce fichier sous le nom de CFScript.txt
    # Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
    # Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    # Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    # Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
    # Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    * reposte également un nouveau rapport hijackthis

    -1
Précédent
  • 1
  • 2