pb avec virus adware.virtumonde applicationRésolu/Fermé

Question

Bonjour,j'ai un probleme avec un virud qui ne veut pas s'enlever aves nod 32 c'est win32/adware.virtumonde application,pourriez-vous m'aider.Je vous envoie le scanLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:25:42, on 20/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: {6638ae4b-7ac5-2e28-bbc4-dbf1bdecb991} - {199bcedb-1fbd-4cbb-82e2-5ca7b4ea8366} - C:\WINDOWS\system32\xvjayloa.dll (file missing)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {F3D4B356-276C-40DF-BE1D-9A2EF4F53FBB} - C:\WINDOWS\system32\mllji.dll (file missing)
O2 - BHO: (no name) - {FF94E23C-181D-40FC-9330-82B98BFC13AD} - C:\WINDOWS\system32\ssttt.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Messenger Panel] wbcsvc.exe
O4 - HKLM\..\Run: [b8cf4f85] rundll32.exe "C:\WINDOWS\system32\hyhappkq.dll",b
O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E64517F5-99E3-467F-8056-FF497E0FDC4E}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O24 - Desktop Component 0: (no name) - https://securepics.ebaystatic.com/aw/pics/s.gif

Saiyen75 · Answer

Salut,

Commence par renommer ton Hijackthis.exe en ---> CCM.exe

Ensuite :

VundoFix :

Télécharge VundoFix.exe sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

-----------------------------------------------------------

Télécharge VirtumondoBegone : 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Lance le, et poste le rapport dans le forum.

_____________________________________________________

- Télécharger et installer AVG Anti-Spyware 7.5 (si tu ne l'as pas déjà si tu l'as vérifie bien les paramètres).

https://www.avg.com/en-ww/free-antivirus-download 

Lancer AVG Anti-Spyware. 
Cliquer sur le menu Mise à jour. 
Dans le paragraphe "Mise à jour manuelle", cliquer sur le bouton "Commencer la mise à jour". 
Attendre la fin de cette mise à jour puis fermer le programme. 


- Lance AVG Anti-Spyware 7.5 

Cliquer sur le menu" Analyse" (de la barre d'outils). 
Cliquer sur l'onglet "Paramètres". 
Dans "Comment réagir"? cliquer sur "Actions recommandées" et choisir "Quarantaine". 
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées. 
Vérifier que le bouton-radio "Générer un rapport après chaque analyse" soit aussi coché. 
Dans l'onglet "Analyse" 
Cliquer sur "Analyse complète du système". 
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche. 
Très important : A la fin de l'analyse, cocher tout ce qui a été trouvé puis cliquer sur " Appliquer toutes les actions" 
Ensuite. 
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 
(C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports ) 
Puis fermer AVG Anti-Spyware. 

_____________________________________________________

Repost un log HijackThis (CCM.exe) ainsi que les 2 autres rapports.

++

picoubass · Answer

0k merci

picoubass · Answer

c'est à dire ccm.exe

picoubass · Answer

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 14:07:32 20/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\byxwwxv.dll
C:\WINDOWS\system32\ddcbyvt.dll
C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32
khytwje.dll
C:\WINDOWS\system32\qomlljg.dll
C:\WINDOWS\system32\sqrmlnef.dll
C:\WINDOWS\system32\wupmiphg.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\byxwwxv.dll
C:\WINDOWS\system32\byxwwxv.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ddcbyvt.dll
C:\WINDOWS\system32\ddcbyvt.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\ijllm.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ijllm.ini2
C:\WINDOWS\system32\ijllm.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\mllji.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
khytwje.dll
C:\WINDOWS\system32
khytwje.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\qomlljg.dll
C:\WINDOWS\system32\qomlljg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\sqrmlnef.dll
C:\WINDOWS\system32\sqrmlnef.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wupmiphg.dll
C:\WINDOWS\system32\wupmiphg.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 14:42:03 20/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\ejwtyhkn.ini
C:\WINDOWS\system32
khytwje.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ejwtyhkn.ini
C:\WINDOWS\system32\ejwtyhkn.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32
khytwje.dll
C:\WINDOWS\system32
khytwje.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 15:38:45 20/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\ejwtyhkn.ini
C:\WINDOWS\system32\hyhappkq.dll
C:\WINDOWS\system32
khytwje.dll
C:\WINDOWS\system32\qkppahyh.ini
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\xvjayloa.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ejwtyhkn.ini
C:\WINDOWS\system32\ejwtyhkn.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hyhappkq.dll
C:\WINDOWS\system32\hyhappkq.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32
khytwje.dll
C:\WINDOWS\system32
khytwje.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qkppahyh.ini
C:\WINDOWS\system32\qkppahyh.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\ssttt.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\xvjayloa.dll
C:\WINDOWS\system32\xvjayloa.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 18:19:05 20/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\hyhappkq.dll
C:\WINDOWS\system32\qkppahyh.ini
C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32	ttss.ini
C:\WINDOWS\system32	ttss.ini2

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\hyhappkq.dll
C:\WINDOWS\system32\hyhappkq.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\qkppahyh.ini
C:\WINDOWS\system32\qkppahyh.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ssttt.dll
C:\WINDOWS\system32\ssttt.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32	ttss.ini
C:\WINDOWS\system32	ttss.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32	ttss.ini2
C:\WINDOWS\system32	ttss.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 19:27:38 20/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\hyhappkq.dll
C:\WINDOWS\system32\qkppahyh.ini

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\hyhappkq.dll
C:\WINDOWS\system32\hyhappkq.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\qkppahyh.ini
C:\WINDOWS\system32\qkppahyh.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Scan started at 00:40:53 21/02/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:03:04, on 21/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: {6638ae4b-7ac5-2e28-bbc4-dbf1bdecb991} - {199bcedb-1fbd-4cbb-82e2-5ca7b4ea8366} - C:\WINDOWS\system32\xvjayloa.dll (file missing)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {F3D4B356-276C-40DF-BE1D-9A2EF4F53FBB} - C:\WINDOWS\system32\mllji.dll (file missing)
O2 - BHO: (no name) - {FF94E23C-181D-40FC-9330-82B98BFC13AD} - C:\WINDOWS\system32\ssttt.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Messenger Panel] wbcsvc.exe
O4 - HKLM\..\Run: [b8cf4f85] rundll32.exe "C:\WINDOWS\system32\hyhappkq.dll",b
O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E64517F5-99E3-467F-8056-FF497E0FDC4E}: NameServer = 81.253.149.1 80.10.246.3
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O24 - Desktop Component 0: (no name) - https://securepics.ebaystatic.com/aw/pics/s.gif

picoubass · Answer

[02/21/2008, 1:08:18] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Admin\Mes documents\logiciels\VirtumundoBeGone.exe" )
[02/21/2008, 1:08:26] - Detected System Information:
[02/21/2008, 1:08:26] -  Windows Version: 5.1.2600, Service Pack 2
[02/21/2008, 1:08:26] -  Current Username: Admin (Admin)
[02/21/2008, 1:08:26] -  Windows is in NORMAL mode.
[02/21/2008, 1:08:26] - Searching for Browser Helper Objects:
[02/21/2008, 1:08:26] -  BHO 1: {199bcedb-1fbd-4cbb-82e2-5ca7b4ea8366} ()
[02/21/2008, 1:08:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/21/2008, 1:08:26] -  Checking for HKLM\...\Winlogon\Notify\xvjayloa
[02/21/2008, 1:08:26] -  Key not found: HKLM\...\Winlogon\Notify\xvjayloa, continuing.
[02/21/2008, 1:08:26] -  BHO 2: {64F56FC1-1272-44CD-BA6E-39723696E350} (EoBho Class)
[02/21/2008, 1:08:26] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[02/21/2008, 1:08:26] -  BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[02/21/2008, 1:08:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/21/2008, 1:08:26] -  No filename found. Continuing.
[02/21/2008, 1:08:26] -  BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[02/21/2008, 1:08:26] -  BHO 6: {9394EDE7-C8B5-483E-8773-474BF36AF6E4} (ST)
[02/21/2008, 1:08:26] -  BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[02/21/2008, 1:08:26] -  BHO 8: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[02/21/2008, 1:08:26] -  BHO 9: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (MSNToolBandBHO)
[02/21/2008, 1:08:26] -  BHO 10: {F3D4B356-276C-40DF-BE1D-9A2EF4F53FBB} ()
[02/21/2008, 1:08:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/21/2008, 1:08:26] -  Checking for HKLM\...\Winlogon\Notify\mllji
[02/21/2008, 1:08:26] -  Key not found: HKLM\...\Winlogon\Notify\mllji, continuing.
[02/21/2008, 1:08:26] -  BHO 11: {FF94E23C-181D-40FC-9330-82B98BFC13AD} ()
[02/21/2008, 1:08:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[02/21/2008, 1:08:26] -  Checking for HKLM\...\Winlogon\Notify\ssttt
[02/21/2008, 1:08:26] -  Key not found: HKLM\...\Winlogon\Notify\ssttt, continuing.
[02/21/2008, 1:08:26] - Finished Searching Browser Helper Objects
[02/21/2008, 1:08:26] - Finishing up...
[02/21/2008, 1:08:26] - Nothing found! Exiting...

Saiyen75 · Answer

Salut,



c'est à dire ccm.exe
---> Démarrer
---> Executer
---> Faire un copier/coller de ce qui est en gras : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe 
---> Entrée (puis une nouvelle fenetre s'ouvre alors)
---> Clic droit sur HijackThis.exe
---> Renommer
---> tapper : CCM
---> puis entrée

Execute CCM.exe ---> "do a system scan and save logfile" ---> copie/colle le rapport sur le forum.

POUR XP !!!!!!!!!!!

SDFix :

Télécharger sur le bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

= Double-clic SDFix. 
= Clic Install 

= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes).
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. 

Pour démarrer en mode sans échec : 

1/ -Démarrez Windows, ou s’il s’exécute, fermez Windows puis éteignez l'ordinateur. 
2/ -Redémarrez l’ordinateur.
3/ -Au début du chargement du BIOS (mais pas trop tôt), commencez à appuyer sur la touche F8 de votre clavier plusieurs fois de suite. Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaissent.
4/ -En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.

Une fois sous windows :

------ 
= Double-clic SDFix. 
= Clic Install 
= Double-clic sur le nouveau dossier SDFix qui est dans C:\ 
= Double-clic RunThis 
= Presser Y 
= A l’invitation ==> appuyer sur une touche pour redémarrer 
= Redémarrage ( qui sera plus long ,car nettoyage en cours ) 
Continuer si un message d’erreurs apparaît ,dans ce cas aller directement au rapport dans SDfix 
= apparition de Finished 
= Appuyer sur une touche 
= Dans SDFix , un rapport est généré, Report.txt
= Copier/Coller sur le forum.

_____________________________________________________

++

picoubass · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:18:28, on 21/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\CCM.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: {6638ae4b-7ac5-2e28-bbc4-dbf1bdecb991} - {199bcedb-1fbd-4cbb-82e2-5ca7b4ea8366} - C:\WINDOWS\system32\xvjayloa.dll (file missing)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {F3D4B356-276C-40DF-BE1D-9A2EF4F53FBB} - C:\WINDOWS\system32\mllji.dll (file missing)
O2 - BHO: (no name) - {FF94E23C-181D-40FC-9330-82B98BFC13AD} - C:\WINDOWS\system32\ssttt.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Messenger Panel] wbcsvc.exe
O4 - HKLM\..\Run: [b8cf4f85] rundll32.exe "C:\WINDOWS\system32\hyhappkq.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E64517F5-99E3-467F-8056-FF497E0FDC4E}: NameServer = 80.10.246.130 81.253.149.10
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O24 - Desktop Component 0: (no name) - https://securepics.ebaystatic.com/aw/pics/s.gif

Saiyen75 · Answer

Une fois que tu auras posté le rapport SDFix :

    Mets JAVA à jour :
https://www.java.com/fr/download/manual.jsp 
---------------------------------------------------------------------
Tester Java et autres players:
TesT-1
TesT-2

_____________________________________________________ 

Tu feras ça :

---> Poste de travail
--> Ajout/Suppression de programmes
---> Rechercher dans la liste : eoRezo
--> Désinstaller

Ensuite :

Fixe les lignes dans Hijackthis :

Relance HijackThis, choisis  "do a scan only"  coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

O2 - BHO: {6638ae4b-7ac5-2e28-bbc4-dbf1bdecb991} - {199bcedb-1fbd-4cbb-82e2-5ca7b4ea8366} - C:\WINDOWS\system32\xvjayloa.dll (file missing) 
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: (no name) - {F3D4B356-276C-40DF-BE1D-9A2EF4F53FBB} - C:\WINDOWS\system32\mllji.dll (file missing) 
O2 - BHO: (no name) - {FF94E23C-181D-40FC-9330-82B98BFC13AD} - C:\WINDOWS\system32\ssttt.dll (file missing) 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 

O24 - Desktop Component 0: (no name) - https://securepics.ebaystatic.com/aw/pics/s.gif 

S'il te demande un redémarrage, relance ton PC.
_____________________________________________________

OTMoveIt :

Télécharger sur le bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

= Copier le texte en gras: 

C:\WINDOWS\system32\hyhappkq.dll

= Double-clic sur OTMoveIt.exe 
= Dans le cadre de Gauche ==> clic-droit ==> coller 
= Clic MoveIt! 
= si redémarrage demandé==> Clic : YES 
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller sur le forum.
------- 

redemarre le PC

_____________________________________________________

picoubass · Answer

[b][u]SDFix: Version 1.144[/u][/b]

Run by Admin on 21/02/2008 at 10:37

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b][u]Checking Services[/u][/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


[b][u]Checking Files[/u][/b]: 

Trojan Files Found:

C:\WINDOWS\17PHolmes2000201.exe - Deleted





Removing Temp Files...

[b][u]ADS Check[/u][/b]:
 


                                 [b][u]Final Check[/u][/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-21 10:41:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


[b][u]Remaining Services[/u][/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b][u]Remaining Files[/u][/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b][u]Files with Hidden Attributes[/u][/b]:

Sun  3 Dec 2006         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri  7 Dec 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 13 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\326d1a08fc685e3efad9e9a5b059ebfb\BIT2058.tmp"
Sun 13 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\32a68038cbc8e2f304034165d1cab2e1\BIT2061.tmp"
Sun 13 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5b6da8fb69b176ee583a3734e2af76e6\BIT2059.tmp"
Sun 13 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60f98441524da959e4cfd96533bfcea5\BIT205F.tmp"
Sun 13 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7333946973f87a4fdf879a85eeae256b\BIT205A.tmp"
Sun 13 Jan 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8b3179d71e82d8085d960408b16ae5bf\BIT205C.tmp"
Sun 13 Jan 2008     1,229,688 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bc7043d60e692448b548f03d568309ab\BIT205B.tmp"
Sun 13 Jan 2008     4,856,848 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f3fd033e4d9140ea4bb2ff5810443583\BIT205E.tmp"

[b]Finished![/b]

Saiyen75 · Answer

Trés bien pour le SDFix, fait les autres rapports :)

A toute

picoubass · Answer

merci encore pour ton soutien mais je reprendrai ce soir car je doit aller bosser.a+

picoubass · Answer

je trouve pas eo rezo dans ajouts et suppression des programmes il n'y a que eo engine

Saiyen75 · Answer

Re,

Ok à ce soir, Dans ce cas, supprimer eo Engine.

++

picoubass · Answer

resalut je t'envoi le rapportFile/Folder C:\WINDOWS\system32\hyhappkq.dll not found.
 
OTMoveIt2 v1.0.20 log created on 02212008_222445

Saiyen75 · Answer

Re

Tu as désinstaller eo engine ?
Fixer les lignes dans HjT ?

picoubass · Answer

il ya comme defaut erreur de chargement de c:\windows\system32\hyhappkq.dll le module specifié est introuvable  et  mon ecran deconne à plein tube.si tu peux continuer à m'aider se serait sympa.à+

Saiyen75 · Answer

Tu va passer Combofix 
Attention, C'est un Fix trés puissant, surtout ne saute AUCUNE étape :

ComboFix :

Télécharge combofix.exe(par sUBs) sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

* Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
* Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 



Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. /!\

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

* Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

* Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

_____________________________________________________

picoubass · Answer

ComboFix 08-02-22 - Admin 2008-02-21 23:21:57.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.253 [GMT 1:00] Endroit: C:\Documents and Settings\Admin\Mes documents\logiciels\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\qkppahyh.ini C:\WINDOWS\system32 frreohh.ini . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-22 to 2008-02-22 )))))))))))))))))))))))))))))))))))) . 2008-02-21 22:24 . 2008-02-21 22:24 d-------- C:\_OTMoveIt 2008-02-21 10:52 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-02-21 10:35 . 2008-02-21 10:35 d-------- C:\WINDOWS\ERUNT 2008-02-21 10:25 . 2008-02-21 10:42 d-------- C:\SDFix 2008-02-21 01:17 . 2008-02-21 01:17 d-------- C:\Documents and Settings\Admin\Application Data\Grisoft 2008-02-21 01:16 . 2008-02-21 01:16 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-02-21 01:16 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-02-20 23:31 . 2008-02-20 23:31 d-------- C:\Program Files\Lavasoft 2008-02-20 23:31 . 2008-02-20 23:32 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-02-20 23:30 . 2008-02-20 23:30 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-02-20 14:07 . 2008-02-21 00:39 d-------- C:\VundoFix Backups 2008-02-19 00:40 . 2008-02-19 00:52 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-02-18 23:45 . 2008-02-18 23:45 d-------- C:\Program Files\Trend Micro 2008-02-14 17:56 . 2008-02-14 17:56 d-------- C:\Documents and Settings\All Users\Application Data\MGS 2008-02-14 17:55 . 2008-02-14 17:55 d-------- C:\MicroGaming 2008-02-11 21:19 . 2008-02-17 10:17 d-------- C:\Program Files\Guitar Pro 4(2) 2008-02-04 20:59 . 2008-02-04 20:59 d-------- C:\Documents and Settings\All Users\Application Data\Kodak . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-22 22:23 --------- d-----w C:\Program Files\Wanadoo 2008-02-21 21:14 --------- d-----w C:\Program Files\eoRezo 2008-02-21 21:14 --------- d-----w C:\Documents and Settings\Admin\Application Data\EoRezo 2008-02-21 21:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-02-21 10:46 --------- d-----w C:\Program Files\Java 2008-02-18 23:51 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-02-08 22:09 --------- d-----w C:\Documents and Settings\Admin\Application Data\LimeWire 2008-02-08 19:12 --------- d-----w C:\Program Files\ESET 2008-01-31 20:29 --------- d-----w C:\Program Files\LimeWire 2008-01-25 07:14 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-01-17 22:21 --------- d-----w C:\Program Files\MSN Messenger 2008-01-13 20:58 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-01-13 20:53 --------- d-----w C:\Program Files\Windows Live 2008-01-13 20:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2006-11-27 18:08 461 ----a-w C:\Program Files\INSTALL.LOG . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EPSON Stylus Photo R200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.exe" [2003-09-11 04:00 99840] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32kui"="C:\Program Files\Eset od32kui.exe" [2007-11-23 21:24 949376] "b8cf4f85"="C:\WINDOWS\system32\hyhappkq.dll" [ ] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "EoEngine"="" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Config"="C:\WINDOWS\system32 un.cmd" [2005-08-23 10:24 341] "nlsf"="cmd.exe" [2004-08-19 15:09 400896 C:\WINDOWS\system32\cmd.exe] "tscuninstall"="C:\WINDOWS\system32 scupgrd.exe" [2004-08-19 14:52 44544] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoAutoUpdate"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoAutoUpdate"= 1 (0x1) [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-12-05 20:35 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-03-30 09:13 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2003-03-27 13:55] R1 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\drivers\moufiltr.sys [2003-01-23 14:29] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3c696bb-8e13-11db-86e5-806d6172696f}] \Shell\AutoRun\command - E:\Programs u2menu u2menu.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-22 23:25:33 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... HKCU\Software\Microsoft\Windows\CurrentVersion\Run EPSON Stylus Photo R200 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"?????D????????????a?w:???????????????p????????????????????b?w????p???????????8???????????h??w????p???????z??wp???????????)??|??????? Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Eset od32krn.exe . ************************************************************************** . Temps d'accomplissement: 2008-02-22 23:27:14 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-22 22:27:03 . 2007-12-11 20:40:37 --- E O F ---

Saiyen75 · Answer

Re

Fait moi un log HijackThis please

Saiyen75 · Answer

Tu va redémarerrer en mode sans echec (attention tu n'auras pas internet)

et tu va faire ça dans l'ordre :

Pour démarrer en mode sans échec : 

1/ -Démarrez Windows, ou s’il s’exécute, fermez Windows puis éteignez l'ordinateur. 
2/ -Redémarrez l’ordinateur.
3/ -Au début du chargement du BIOS (mais pas trop tôt), commencez à appuyer sur la touche F8 de votre clavier plusieurs fois de suite. Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaissent.
4/ -En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.

_____________________________________________________

OTMoveIt :

= Copier le texte en gras: 

C:\Documents and Settings\Admin\Application Data\EoRezo
C:\Program Files\eoRezo 
C:\WINDOWS\system32\hyhappkq.dll

= Double-clic sur OTMoveIt.exe 
= Dans le cadre de Gauche ==> clic-droit ==> coller 
= Clic MoveIt! 
= si redémarrage demandé==> Clic : YES 
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller sur le forum.
------- 

_____________________________________________________

Toujours en mode sans echec :

Fixe la ligne dans Hijackthis :

Relance HijackThis, choisis  "do a scan only"  coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

O4 - HKLM\..\Run: [b8cf4f85] rundll32.exe "C:\WINDOWS\system32\hyhappkq.dll",b 

S'il te demande un redémarrage, relance ton PC.
_____________________________________________________

Redémarre regarde si tu as toujours le message, et repost un log HjT.

picoubass · Answer

puicque j'aurai pas internet jèaimerais copier dans un dossier les demarches que tu m'as donné.comment je fait svp?

Saiyen75 · Answer

Tu commence par
faire un "copier" du contenu du post 22

ensuite

fait un clic droit sur le bureau
nouveau
document texte

aprés :

ouvre le puis edition\coller
Fichier\Enregistrer 

 et c'est bon :)

Saiyen75 · Answer

Je vais me coucher, je lirai les rapports demain matin 
Passe une bonne nuit

++

Saiyen75 · Answer

Salut

Toujours le message au démarrage ?
Repost un log HjT.

picoubass · Answer

est ce que tu crois que c'est du au cheval de troie?

Saiyen75 · Answer

Salut,

Oui merci :)

____________

Repost un log hijackthis, ça m'a l'air bon.
Tu utilise un ecran CRT ? (Cathodique) ?
Je ne pense pas que ça vienne d'un trojan ou spy, mais plutot de ton ecran.

++

Saiyen75 · Answer

Re

Je dois partir,
Je rentre chez moi cet aprem, je lirai ton log hijackthis cet aprem
 A toute ++

picoubass · Answer

0k

Saiyen75 · Answer

Kikoo,

 Je suis vraiment désolé pour hier (j'ai pas répondu)

Mais bonne nouvelle,
Apparement ton log HijackThis est tout propre :)

Tu as encore des problèmes avec ton PC ? Alertes ? Ralentissements ?

Si c'est bon :

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau. 

* http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe 

* Clique sur Recherche et laisse le scan se terminer. 
* Clique, sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). 
---------------------------------------------

Tu peux le supprimer une fois le rapport sur le forum.
_____________________________________________________

Supprime aussi les autres programmes utilisés lors de la désinfection.
Conserve Ccleaner, AVG AS, Spybot.


Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur...

+++

Saiyen75 · Answer

Salut,

Comment se comporte ton PC en ce moment ?

Babye

Saiyen75 · Answer

Salut

Ok, Essaye de passer un ptit coup de Ccleaner :

Télécharger et installer CCleaner. 

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Ne touche pas aux autres réglages. 
Lancer un nettoyage et répare 3 fois les erreurs 
sans installer la barre yahoo.

Aprés, va dans l'onglet Registre puis cherche les erreurs
une fois terminé, Répare les erreurs selectionnées

_____________________________________________________

Saiyen75 · Answer

Ok pas de problème, n'hésite pas a venir en PV si tu as un problème ou des questions :)

++

Pb avec virus adware.virtumonde application

32 réponses

Discussions similaires

Newsletters