Virus fp.pc-internet.com

Résolu
lacorion Messages postés 16 Statut Membre -  
 Matrix -
Bonjour,

Merci de m'indiquer les démarches pour me débarrasser des virus recurrents - ci après le rapport d'après navilog:

Search Navipromo version 3.3.8 commencé le 19/01/2008 à 18:13:31,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\application data" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\SYSTEM32\ygjnck.dat
C:\WINDOWS\SYSTEM32\ygjnck.exe
C:\WINDOWS\SYSTEM32\ygjnck_nav.dat
C:\WINDOWS\SYSTEM32\ygjnck_navps.dat

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\local settings\application data" *

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

ygjnck.dat trouvé !

* Dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :

C:\WINDOWS\system32\hjkmp.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\hjkmp.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 19/01/2008 à 18:23:21,03 ***
Configuration: Windows XP
Internet Explorer 6.0

30 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Lut'

    Passe à l'option 2 et poste moi le rapport.

    A+
    0
  2. lacorion Messages postés 16 Statut Membre
     
    Salut Lut,
    Merci pour ton message/intervention. J'ai fait ce que tu m'as dit.
    Voici le rapport après 'option 2:

    Clean Navipromo version 3.3.8 commencé le 21/01/2008 à 21:24:31,49

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Mode suppression automatique

    *** Creation backups fichiers trouvés par Catchme ***

    Copie vers "C:\Program Files\navilog1\Backupnavi"

    Copie C:\WINDOWS\SYSTEM32\ygjnck.dat réalisée avec succès !
    Copie C:\WINDOWS\SYSTEM32\ygjnck.exe réalisée avec succès !
    Copie C:\WINDOWS\SYSTEM32\ygjnck_nav.dat réalisée avec succès !
    Copie C:\WINDOWS\SYSTEM32\ygjnck_navps.dat réalisée avec succès !

    *** Suppression des fichiers trouvés avec Catchme ***

    C:\WINDOWS\SYSTEM32\ygjnck.dat supprimé !
    C:\WINDOWS\SYSTEM32\ygjnck.exe supprimé !
    C:\WINDOWS\SYSTEM32\ygjnck_nav.dat supprimé !
    C:\WINDOWS\SYSTEM32\ygjnck_navps.dat supprimé !

    ** 2ème passage avec résultats Catchme **

    * Dans C:\WINDOWS\system32 *

    * Dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\local settings\application data" *

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans C:\WINDOWS\System32 *

    * Suppression dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\local settings\application data" *

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***

    *** Suppression dossiers dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\application data" ***

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***

    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Pat.GUILLOT-43EEB18\local settings\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans C:\WINDOWS\system32 *

    * Dans "C:\Documents and Settings\Pat.GUILLOT-43EEB18\local settings\application data" *

    *** Sauvegarde du Registre vers dossier Backupnavi ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !

    *** Nettoyage terminé le 21/01/2008 à 21:29:11,18 ***
    0
  3. Utilisateur anonyme
     
    Re

    Télécharge VundoFix ici

    http://www.atribune.org/ccount/click.php?id=4
    lance Vundofix.exe
    Coche la case Run VundoFix as a task,
    Un pop-up va s'ouvrir , repond ok
    Il va se refermer et réouvrir au bout d'une minute environ.
    Quand il est rouvert, clique sur Scan for Vundo
    Quand le scan est terminé, clique sur Remove Vundo
    Réponds Yes à la demande de suppression des fichiers.
    Il te sera demandé de redémarrer ton ordinateur, accepte bien sûr.
    Colle le rapport (c:\vundofix.txt) dans ta réponse

    Télécharge VirtumondoBegone :
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Redémarre en mode sans échec et lance le,
    Et poste moi le rapport.

    a+
    0
  4. lacorion Messages postés 16 Statut Membre
     
    Resalut Cyril,
    Merci pour ton aide.

    Voici le 1er rapport de Vundofix:

    VundoFix V6.7.7

    Checking Java version...

    Java version is 1.5.0.7
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.11

    Scan started at 22:06:18 21/01/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awiimydt.dll
    C:\WINDOWS\system32\crppyotm.dll
    C:\WINDOWS\system32\hnowbsmy.dll
    C:\WINDOWS\system32\khfebxx.dll
    C:\WINDOWS\system32\wqafwidu.dll
    C:\WINDOWS\system32\yofobwev.dll

    Beginning removal...

    Performing Repairs to the registry.
    Done!

    et le rapport de vitumondibegone:

    [01/21/2008, 22:43:43] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Pat.GUILLOT-43EEB18\Local Settings\Temporary Internet Files\Content.IE5\HPZN7PRE\VirtumundoBeGone[1].exe" )
    [01/21/2008, 22:43:52] - Detected System Information:
    [01/21/2008, 22:43:52] - Windows Version: 5.1.2600, Service Pack 2
    [01/21/2008, 22:43:52] - Current Username: Pat (Admin)
    [01/21/2008, 22:43:52] - Windows is in NORMAL mode.
    [01/21/2008, 22:43:52] - Searching for Browser Helper Objects:
    [01/21/2008, 22:43:52] - BHO 1: {02478D38-C3F9-4efb-9B51-7695ECA05670} (&Yahoo! Toolbar Helper)
    [01/21/2008, 22:43:52] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [01/21/2008, 22:43:52] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [01/21/2008, 22:43:52] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
    [01/21/2008, 22:43:52] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
    [01/21/2008, 22:43:52] - BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
    [01/21/2008, 22:43:52] - BHO 7: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class)
    [01/21/2008, 22:43:52] - Finished Searching Browser Helper Objects
    [01/21/2008, 22:43:52] - Finishing up...
    [01/21/2008, 22:43:52] - Nothing found! Exiting...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    On va encore un peu fouiller ;)

    Télécharge HJT

    Lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport.

    A+

    0
  7. lacorion Messages postés 16 Statut Membre
     
    Salut Cyril,

    Très sympa à toi. Grâce à toi, ca commence à aller mieux pour mon pc. Voici le rapport de HJT.
    Au fait qui es-tu?

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:43:16, on 24/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P41 "EPSON Stylus Photo RX620 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX620"
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P31 "EPSON Stylus Photo RX620 Series" /O6 "USB001" /M "Stylus Photo RX620"
    O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [j6211636] rundll32 C:\WINDOWS\system32\j6211636.dll sook
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)
    O20 - Winlogon Notify: pmkjh - C:\WINDOWS\system32\pmkjh.dll (file missing)
    O20 - Winlogon Notify: yayayxw - yayayxw.dll (file missing)
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  8. lacorion Messages postés 16 Statut Membre
     
    Cyril,

    Il y a C:\Program Files\Messenger\msmsgs.exe dont j'aimerais me débarasser. En faisant un controle alt delete, j'ai noté msmsgs qui s'installe comme ca.
    merci
    0
  9. Utilisateur anonyme
     
    Re

    Ben je suit un lycéen ^^

    ***

    Hum IE pas à jour -----> IE 7

    JAVA pas à jour ----> Java 1.6.3

    ***

    Fixe ces lignes ( coche la case à leurs gauches ->> ' fixchecked ' )

    O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe <-- Spyware secure est un Rogue ! ( faux utilitaire de désinfection )

    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)
    O20 - Winlogon Notify: pmkjh - C:\WINDOWS\system32\pmkjh.dll (file missing)
    O20 - Winlogon Notify: yayayxw - yayayxw.dll (file missing)

    **************

    Aprés , télécharge OTmoveIt ( de Old Timer )

    Une fois téléchargé double-clique sur OTMoveIt.exe pour le lancer.
    copie les lignes qui se trouvent en dessous

    C:\Program Files\Spyware-Secure

    et colle-les dans le cadre de gauche de OTMoveIt : "Paste List of Files/Folders to be moved."
    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte.

    ***************
    Il y a C:\Program Files\Messenger\msmsgs.exe dont j'aimerais me débarasser. En faisant un controle alt delete, j'ai noté msmsgs qui s'installe comme ca.
    merci


    Quand à ça , cela fait partie de MSN , on s'en occupera après

    Poste moi un rapport HJT + OT une fois que tout cela est fini =)

    A+

    0
  10. lacorion Messages postés 16 Statut Membre
     
    Voilà j'ai supprimer C:\Program Files\Spyware-Secure avec OTMOvelt.

    Voilà le dernier rapport de OTMOvelt. J'ai ensuite redémarrer le pc.

    Folder move failed. C:\Program Files\Spyware-Secure\skin scheduled to be moved on reboot.
    Folder move failed. C:\Program Files\Spyware-Secure\resources\malwaresDB_1-8 scheduled to be moved on reboot.
    C:\Program Files\Spyware-Secure\resources moved successfully.

    J'ai toujours ce "RUNDLL (C:Windows\systen32\j6211636.dll) quand j'ouvre l'ordi.

    C'est quoi cette boite de dialogue qui apparait maintenant avec msmsgs.exe:

    exemple:

    ({'~* T i s S *~'}) <tiss.74@hotmail.fr> Conversation
    " Ne communiquez jamais votre mot de passe ou votre numéro de carte bancaire
    dans une conversation sur messagerie instantanée."

    ({'~* T i s S *~'}) dit :
    mechant tu vx pa mparler

    En tout cas merci.
    0
  11. Utilisateur anonyme
     
    Re

    Dans HJT fixe cette ligne

    O4 - HKLM\..\Run: [j6211636] rundll32 C:\WINDOWS\system32\j6211636.dll sook

    ****

    Redémarre et poste moi le rapport.

    Toujours le même message ?

    A+
    0
  12. lacorion Messages postés 16 Statut Membre
     
    Je crois que tout est ok maintenant. Je t'envoie quand même le dernier rapport HJT. Une petite question: c'est la différence entre HJT, Navilog, Virtumondibegone, OTMoveit? chaque programme a sa spécialité par rapport aux virus, c'est comme les médicamments!!?

    Ah je viens de recevoir encore ces chats en rapport avec C:\Program Files\Messenger\msmsgs.exe.
    Penses-tu que je peux le supprimer en cochant:
    la case no. O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe</

    Encore bravo pour ton efficacité et bonne continuation dans tes études.

    Le rapport:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:29:36, on 24/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
    C:\WINDOWS\system32\CTsvcCDA.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P41 "EPSON Stylus Photo RX620 Series (Copie 1)" /O6 "USB001" /M "Stylus Photo RX620"
    O4 - HKLM\..\Run: [EPSON Stylus Photo RX620 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P31 "EPSON Stylus Photo RX620 Series" /O6 "USB001" /M "Stylus Photo RX620"
    O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe</
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  13. lacorion Messages postés 16 Statut Membre
     
    Cyril,

    Une dernière questions: ca me sert à quoi: Java et explorer
    Merci

    Hum IE pas à jour -----> IE 7

    JAVA pas à jour ----> Java 1.6.3
    0
  14. Utilisateur anonyme
     
    Re , ne cris pas victoire trop tôt ^^ , il reste encore des saloperies dans ton pc , et je tiens à ce que les personnes que j'aide repartent avec un pc clean et non à moitié désinfecté ;)

    Hum met IE à jour stp , naviguer avec ta version actuelle est dangereux ( trop de failles de sécurité ), pour Java aussi , met le à jour.

    Tant que j'y suit , j'ai vu que tu n'as pas de pare-feu ----> ZoneAlarm

    ****************
    Dans OTMoveIt

    C:\WINDOWS\system32\j6211636.dll sook

    -> Move it !

    Puis poste le rapport.

    ****************
    Télécharge clean : http://www.malekal.com/download/clean.zip

    Une fois téléchargé et dézippé ( clique droit , extraire tout) , lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport.(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

    ****************

    TéléchargeCleanup
    Lance-le et choisi l'option ' cleanup! '

    ****************

    Voila , rapport OT + clean

    A+

    Ps: oui , chaque programmes à son utilité , et son infection ' de prédilection '
    Pour Msn ne touche à rien pour le moment , on va voir ce que donne le rapport clean ;)
    Important -> n'oublies pas les mises à jour et le pare-feu , sans quoi tu risques d'être encore infecté.

    0
  15. lacorion Messages postés 16 Statut Membre
     
    Resalut,

    Voilà j'ai enlêvé C:\WINDOWS\system32\j6211636.dll sook dans le programme OTMoveIt mais j'ai perdu le rapport car entre-temps j'ai téléchargé clean et ensuite cleanup. j'espère que ca a marché car j'avais plus de 50000 fîles à deleter, il y avait d'abord un essai virtuel puis je l'ai confirmer et ensuite j'ai clicé sur close ("cancel" n'apparaissait plus).

    J'ai un pb avec alarmzone que j'ai téléchargé et désinstallé car comment distinguéer les programmes dont il faut refusé l'accès ou accepter: OK pour IE, Skipe et pour les autres je ne suis pas sur.

    Merci
    0
  16. Utilisateur anonyme
     
    Poste moi le rapport Clean stp , car avec l'option 1 il ne fait que scanner.

    Pour le pare-feu tu acceptes seulement les programmes que tu connais ;)

    a+
    0
  17. lacorion Messages postés 16 Statut Membre
     
    Ca c'est le rapport clean:
    merci

    26/01/2008 a 9:38:52,25

    *** Recherche des fichiers dans C:
    C:\Installer*.exe FOUND

    *** Recherche des fichiers dans C:\WINDOWS\

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\mcrh.tmp FOUND
    0
  18. Utilisateur anonyme
     
    Re

    Re-lance Clean choisi l'option 2 ( suppression ) et poste moi le rapport ;)

    A+
    0
  19. lacorion Messages postés 16 Statut Membre
     
    Après option 2:

    Merci

    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 26/01/2008 a 12:24:40,95

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:
    tentative de suppression de C:\Installer*.exe

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32
    tentative de suppression de C:\WINDOWS\system32\mcrh.tmp
    0
  20. lacorion Messages postés 16 Statut Membre
     
    Question stp: c'est quoi le mode sans echec ou echec?!
    0
  21. Utilisateur anonyme
     
    Re

    Le mode sans échec est une manière de lancer windows avec seulement les composants permettant de le faire fonctionner.

    Bon reposte un dernier rapport HJT pour vérifier ( c'est quasi fini )

    A+

    0
  • 1
  • 2