W32.Myzor.Fk@yf. VISTA

Résolu
DarkVadim Messages postés 17 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

J'ai depuis plusieurs jours un ou des virus sur mon pc, sous vista et avec avast antivirus.

Je subi l'apparition de fenetres intempestives (proposant des antivirus) ainsi qu'une nouvelle page internet par defaut qui m'informe que mon ordi est infecté par W32.Myzor.Fk.yf.

J'ai déjà effectué des analyses avg antispyware et c cleaner qui ont supprimé des tacking cookies de risk moyen et un Download.Small.eoi de risk élevé.

Malgré tout le probleme persiste donc si vous pouviez me filer un coup de main car je suis un peu une quiche en info...
merci.
Configuration: Windows Vista
Internet Explorer 7.0

15 réponses

  1. Utilisateur anonyme
     
    Salut !

    Si tu as le rapport AVG anti-spyware poste le moi stp.

    *****************************************************

    Puis fait ceci :

    Télécharge HJT

    '
    Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'situé dans le dossier dans C:\ , en 'HJT.exe' <<<<<<<<< Important !!! <<<<<<<

    Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe

    -> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ...

    Clique droit sur l'icône -> '' Executer en tant qu'administrateur '' , et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )

    Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Hello,

      merci de m'aider !

      voila j'ai refait une analyse avg voici le rapport:

      ---------------------------------------------------------
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 10:02:11 20/03/2008

      + Résultat de l'analyse:



      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@himedia.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@adtech[1].txt -> TrackingCookie.Adtech : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@atdmt[3].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\lombard_vadim@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\lombard_vadim@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\lombard_vadim@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.
      C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.


      Fin du rapport

      par contre j'arrive pas à enregistrer hijack dans c: programmes, probleme administrateur apparemen... j'attends tes conseils plutot que de faire des betises, merci...
      0
  2. Utilisateur anonyme
     
    Re ,

    Ok pas grave installe le ou tu peux.
    Il y a une session Admin sur ton pc ?

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      c curieux je n'ai vu ton message que ce matin... bref,

      Finalement le truc de l'administrateur c rien, voici le rapport hijack :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 09:51:21, on 21/03/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\NetProject\scit.exe
      C:\Program Files\NetProject\sbmntr.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\Program Files\NetProject\scm.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\NetProject\sbsm.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Internet Explorer\ieuser.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Windows\system32\SearchFilterHost.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O1 - Hosts: ::1 localhost
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [pjlfic] c:\users\lombard vadim\appdata\local\pjlfic.exe pjlfic
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
      O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
      O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
      O13 - Gopher Prefix:
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
      0
  3. Utilisateur anonyme
     
    Re , infection magic control ;)

    ******************************

    Télécharge Navilog1

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis l'option 1

    Pendant le scan ton anti-virus risque de gueuler , ne t'inquiete pas c'est normal ;)

    Patiente jusqu'au message

    *** Analyse Termine le ..... ***

    Puis poste moi le rapport.

    ( rapport situé a la racine du disque -> C:\Fixnavi.txt )

    A+

    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,
      ça me met que GetPaths.exe a cessé de fonctionner et le scan s'arrete...

      windows me propose de fermer le programme et de chercher si une solution est dispo...

      J'ai oublié de te dire que j'avais un peu tripatouiller hijack avant de te contacter, j'ai coché certains trucs en me référant à des exemples similaires dans le forum... j'ai pe etre fé une connerie...jattends tes conseils, merci.
      0
    2. DarkVadim Messages postés 17 Statut Membre
       
      Encore une chose,

      Navilog 1 me met, qd a lui, toute uen série d'accès refusé puis " impossible de trouver le fichier script
      ( C: GetPaths.vbs ), (SetPaths.bat n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commande
      impossible d trouver ( C: SetPaths.bat)" voila exactement ce kil en est, a+.
      0
  4. Utilisateur anonyme
     
    Re , excuse moi j'ai pas vu que tu été sous Vista ,

    Désactive l'UAC activé , il peut gener l'execution des programmes de désinfection.

    Et recommence

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      voici le rapport de navilog1:

      Search Navipromo version 3.5.0 commencé le 21/03/2008 à 17:41:02,46

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

      Microsoft Windows Vista 6.0.6000
      Internet Explorer : 7.0.6000.16609
      Système de fichiers : NTFS

      Executé en mode normal

      *** Recherche Programmes installés ***




      *** Recherche dossiers dans C:\Windows ***



      *** Recherche dossiers dans C:\Program Files ***

      C:\Program Files\WebMediaPlayer trouvé !

      *** Recherche dossiers dans C:\ProgramData ***


      *** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

      ...\WebMediaPlayer trouvé !

      *** Recherche dossiers dans c:\users\lombard vadim\appdata\roaming\microsoft\windows\start menu\programs ***


      *** Recherche dossiers dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\Program Files ***



      *** Recherche dossiers dans C:\Users\LOMBARD VADIM\AppData\Roaming ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Fichier(s) caché(s) :

      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.dat
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_nav.dat
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_navps.dat



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans C:\Windows\system32 *

      * Recherche dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *

      * Recherche dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *

      * Recherche dans C:\Users\LOMBARD VADIM\AppData\Local *

      Fichiers suspects :

      pjlfic.exe trouvé !



      *** Recherche fichiers ***


      C:\Windows\system32\nvs2.inf trouvé !


      *** Recherche clés spécifiques dans le Registre ***

      HKEY_CURRENT_USER\Software\Lanconfig trouvé !

      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans C:\Windows\system32 :


      * Dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft :


      * Dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 :


      * Dans C:\Users\LOMBARD VADIM\AppData\Local :

      pjlfic.dat trouvé !

      3)Recherche Certificats :

      Certificat Egroup trouvé !
      Certificat Electronic-Group trouvé !
      Certificat OOO-Favorit trouvé !

      4)Recherche fichiers connus :



      *** Analyse terminée le 21/03/2008 à 17:48:29,76 ***

      jattends tes conseils, a+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re ,

    Relance Navilog1 > Option 2 > poste le rapport.

    **************************************

    Merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'situé dans le dossier dans C:\ , en 'HJT.exe' <<<<<<<<< Important !!! <<<<<<<

    Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe

    -> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ...</gras

    Et reposte moi un rapport Hijackthis avec celui de Navilog.

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      voici le rapport navilog option 2 :

      Clean Navipromo version 3.5.0 commencé le 21/03/2008 à 17:57:52,34

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

      Microsoft Windows Vista 6.0.6000
      Internet Explorer : 7.0.6000.16609
      Système de fichiers : NTFS

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS


      *** Creation backups fichiers trouvés par Catchme ***

      Copie vers "C:\Program Files\navilog1\Backupnavi"

      Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.dat réalisée avec succès !
      Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe réalisée avec succès !
      Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_nav.dat réalisée avec succès !
      Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_navps.dat réalisée avec succès !

      *** Suppression des fichiers trouvés avec Catchme ***

      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.dat supprimé !
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe supprimé !
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_nav.dat supprimé !
      C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_navps.dat supprimé !

      ** 2ème passage avec résultats Catchme **

      * Dans C:\Windows\system32 *


      * Dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *


      * Dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *


      * Dans C:\Users\LOMBARD VADIM\AppData\Local *


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans C:\Windows\System32 *


      * Suppression dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *


      * Suppression dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *


      * Suppression dans C:\Users\LOMBARD VADIM\AppData\Local *



      *** Suppression dossiers dans C:\Windows ***


      *** Suppression dossiers dans C:\Program Files ***

      C:\Program Files\WebMediaPlayer ...suppression...
      C:\Program Files\WebMediaPlayer supprimé !


      *** Suppression dossiers dans C:\ProgramData ***


      *** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

      ...\WebMediaPlayer ...suppression...
      ...\WebMediaPlayer supprimé !


      *** Suppression dossiers dans c:\users\lombard vadim\appdata\roaming\microsoft\windows\start menu\programs ***


      *** Suppression dossiers dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\Program Files ***


      *** Suppression dossiers dans C:\Users\LOMBARD VADIM\AppData\Roaming ***



      *** Suppression fichiers ***

      C:\Windows\system32\nvs2.inf supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\Windows\Temp effectué !
      Nettoyage contenu C:\Users\LOMBAR~1\AppData\Local\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans C:\Windows\system32 *


      * Dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *


      * Dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *


      * Dans C:\Users\LOMBARD VADIM\AppData\Local *


      *** Sauvegarde du Registre vers dossier Backupnavi ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !
      Certificat Electronic-Group supprimé !
      Certificat OOO-Favorit supprimé !

      *** Nettoyage terminé le 21/03/2008 à 18:00:23,60 ***

      par contre jai renommé le programme mais le chemin d'accès n'a pa changé...
      0
  7. Utilisateur anonyme
     
    Reposte un rapport Hijackthis , on va voir.

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      le voila :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:08:48, on 21/03/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\system32\taskeng.exe
      C:\Program Files\NetProject\scit.exe
      C:\Program Files\NetProject\sbmntr.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      C:\Windows\System32\rundll32.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\NetProject\scm.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\NetProject\sbsm.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Trend Micro\HijackThis\HJT.exe
      C:\Windows\system32\SearchFilterHost.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O1 - Hosts: ::1 localhost
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
      O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
      O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
      O13 - Gopher Prefix:
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
      0
  8. Utilisateur anonyme
     
    Reu'

    Si c'est bon , tu as bien renommé ;)

    *******************************************************************

    Relance hijackthis , Choisis ' Do a system scan ' Et fixe ces lignes : ( coche la case à leurs gauches > ' fixchecked ')

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
    O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)


    ************************************************

    Télécharge smitfraudfix
    Dézippe le ( clic droit -> éxtraire tout )
    Exécute le en MSE, choisit l’option 1, il va générer un rapport
    Colle le sur le post stp.

    a+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      actions hijack effectuées, mais j'ai du télécharger smitfraud par http ( surementent a cause des modifs compte utilisateur) et j'ai pas d'histoire zip ? c grave ?

      a+
      0
  9. Utilisateur anonyme
     
    Non pas grave , continu

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      voici le rapport smitfraud :

      SmitFraudFix v2.305

      Scan done at 18:34:38,74, 21/03/2008
      Run from C:\Users\LOMBARD VADIM\Desktop\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6000] - Windows_NT
      The filesystem type is NTFS
      Fix run in normal mode

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\Windows\system32\csrss.exe
      C:\Windows\system32\wininit.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\services.exe
      C:\Windows\system32\lsass.exe
      C:\Windows\system32\lsm.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\winlogon.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\SLsvc.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\System32\spoolsv.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Windows\system32\drivers\CDAC11BA.EXE
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\SearchIndexer.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\NetProject\scit.exe
      C:\Program Files\NetProject\sbmntr.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      C:\Windows\System32\rundll32.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\NetProject\scm.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Windows\system32\wbem\wmiprvse.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\NetProject\sbsm.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Program Files\Windows Media Player\wmpnetwk.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Windows\system32\conime.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Windows\system32\cmd.exe
      C:\Windows\system32\SearchProtocolHost.exe
      C:\Windows\system32\SearchFilterHost.exe
      C:\Windows\system32\wbem\wmiprvse.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\LOMBARD VADIM


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\LOMBARD VADIM\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\LOMBAR~1\FAVORI~1


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

      C:\Program Files\Helper\ FOUND !
      C:\Program Files\NetProject\ FOUND !

      »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, following keys are not inevitably infected!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, following keys are not inevitably infected!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""
      "LoadAppInit_DLLs"=dword:00000000


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
      DNS Server Search Order: 212.27.54.252
      DNS Server Search Order: 212.27.53.252

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


      »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


      »»»»»»»»»»»»»»»»»»»»»»»» End
      0
  10. Utilisateur anonyme
     
    Heureusement que j'ai dit de le lancer en mode sans echec ...

    Redémarre en MSE

    Relance Smitfraudfix , choisi l'option 2

    -------Redémarre normalement--------

    → Poste moi le rapport obtenu

    A+

    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Oups dsl j'ai merdé la...

      voici le rapport smitfraud :

      SmitFraudFix v2.305

      Scan done at 18:40:17,14, 21/03/2008
      Run from C:\Users\LOMBARD VADIM\Desktop\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6000] - Windows_NT
      The filesystem type is NTFS
      Fix run in safe mode

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Killing process


      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      127.0.0.1 localhost
      ::1 localhost

      »»»»»»»»»»»»»»»»»»»»»»»» VACFix

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

      S!Ri's WS2Fix: LSP not Found.


      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

      C:\Program Files\Helper\ Deleted
      C:\Program Files\NetProject\ Deleted

      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


      »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


      »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

      Registry Cleaning done.

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» End

      ca a déja l'air d'aller mieu en tout cas...C COOL
      0
  11. Utilisateur anonyme
     
    Re

    c'est le but =P

    Reposte un rapport Hijackthis stp

    a+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      voici le rapport HiJack :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:47:16, on 21/03/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      C:\Windows\System32\rundll32.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Trend Micro\HijackThis\HJT.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      O1 - Hosts: ::1 localhost
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O13 - Gopher Prefix:
      O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
      0
  12. Utilisateur anonyme
     
    Re , okiii

    Désinstalle SweetIm via ' programme et fonctionnalité ' stp.

    Puis si le dossier ' C:\programme\Macrogaming ' Existe encore , supprime le.

    ************************************************************

    Touche ' Windows+R ' ( reviens à executer ) > ' services.msc ' ,

    - Clic droit sur le service cité - Service de l'iPod (iPod Service)
    - propriétés
    - et dans "type de démarrage" et mets le sur « désactivé ».
    - Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté »

    Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html

    ******************************************************
    Met à jour JAVA --> https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

    *****************************************************

    Ta version d'Adobe n'est pas à jour ... désinstalle ta version acutelle en passant par ' Programmes et fonctionnalité '

    Puis télécharge la dernière, via ce site --> https://get2.adobe.com/reader/otherversions/

    Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :

    https://www.adobe.com/support/security/bulletins/apsb07-01.html

    *************************************************

    Délaisse Avast au profit d'Antivir , contrairement à ce que tout le monde pense , Avast n'est pas aussi bien que l'on pourrais le croire regarde le classement des AV
    et constate par toi même → Avast vs Antivir

    Vire Avast → Désinstalle Avast 'proprement' ( merci espion3004)

    Et télécharge Antivir ( PersonnalEdition Classic) → ici

    Tuto Installation + configuration Antivir → https://www.malekal.com/avira-free-security-antivirus-gratuit/

    Tuto Installation : → https://www.astucesinternet.com/modules/news/article.php?storyid=253

    Pour le rendre encore plus discret....

    *******************************************

    Pas de pare-feu , télécharge Kerio

    ***********************************

    Fait tout cela et reposte moi un rapport Hijackthis ;)

    a+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Oufff jarrive deja pa a trouver de programme sweet im...

      Mais merci pour toutes ces infos en tout k !
      0
    2. DarkVadim Messages postés 17 Statut Membre
       
      Autant pour moi...dsl je dois être fatigué, je fé tout ça

      a+
      0
  13. Utilisateur anonyme
     
    Re

    Pas grave continu =)

    a+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      j'ai tout fait sauf pour le pare feu, car antivir me détecte des problemes dans smitfraud et navilog, je les desinstalle ?

      merci a+.
      0
  14. Utilisateur anonyme
     
    quel rapport avec le pare-feu ?

    Ne tiens pas compte des avertissements d'antivir.

    ++
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      a apparement kerio marche pa sous vista...

      mais voici le rapport Hijack :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:03:09, on 21/03/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Internet Explorer\ieuser.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
      C:\Windows\system32\SearchFilterHost.exe
      C:\Program Files\Trend Micro\HijackThis\HJT.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      O1 - Hosts: ::1 localhost
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O13 - Gopher Prefix:
      O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      0
  15. Utilisateur anonyme
     
    Re ,

    Oui j'avais un doute ...

    Télécharge ZoneAlarm Lit bien tout l'article pour éviter les surprises.

    Des soucis avec ?

    ********

    A+
    0
    1. DarkVadim Messages postés 17 Statut Membre
       
      Re,

      juste pour savoir si zone alarm est vraiment obligatoire, car si c vraiment cho a installer...je voudrais pas faire des erreurs ou ne plus pouvoir faire certains trucs...

      Sinon est-ce ke tu penses que ce virus a pu infecté mon i pod aussi ?

      Voila c tout j'attends tes derniers conseils, mais en tout k j'ajoute que ce site est vraiment très utile, t'as été sympa et patient, de plus mon ordi marche du tonnerre !

      Donc merci beaucoup et bonne continuation !

      A+
      0
  16. Utilisateur anonyme
     
    Oui tu dois installer ZA , c'est obligatoire.

    Et non ne t'inquiète pas , c'est simple à l'installation ( d'ailleurs je le recommande car il est simple d'utilisation )

    Sinon pour ton ipod je ne pense pas , au pire scanne-le avec ton anti-virus.

    On va finir =) :

    *****************************************

    → Télécharge CleanUp452 ( Primary download site ... )

    → Lance-le et choisi l'option ' cleanup! '

    Poste le rapport.

    Tutorial: http://pageperso.aol.fr/balltrap34/democleanup.htm ( merci à balltrap34 )

    ************************************

    → Télécharge clean : http://www.malekal.com/download/clean.zip

    → Dézippe-le ( clique droit , extraire tout)

    → Lance clean.cmd ( ou clean ) en faisant un clique droit dessus ' Executer en tant d'administrateur '

    → Au menu principal , Choisi l'option 1 et poste moi le rapport.

    (- Où est le rapport clean ? : « Ordinateur » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

    Note : Tu auras peut-être un message qui t'invitera a uploader un fichier , fait-le dès que tu pourras.

    A+
    0