W32.Myzor.Fk@yf. VISTA

Résolu/Fermé

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008 - 19 mars 2008 à 15:34
Utilisateur anonyme - 23 mars 2008 à 19:50

Bonjour,

J'ai depuis plusieurs jours un ou des virus sur mon pc, sous vista et avec avast antivirus.

Je subi l'apparition de fenetres intempestives (proposant des antivirus) ainsi qu'une nouvelle page internet par defaut qui m'informe que mon ordi est infecté par W32.Myzor.Fk.yf.

J'ai déjà effectué des analyses avg antispyware et c cleaner qui ont supprimé des tacking cookies de risk moyen et un Download.Small.eoi de risk élevé.

Malgré tout le probleme persiste donc si vous pouviez me filer un coup de main car je suis un peu une quiche en info...
merci.

A voir également:

W32.Myzor.Fk@yf. VISTA
Windows vista - Télécharger - Divers Utilitaires
Windows Vista SP1 - Télécharger - Divers Utilitaires
W32 l32 taille française femme ✓ - Forum Consommation & Internet
W32.malware.gen ✓ - Forum Virus
Réinitialiser windows vista sans cd ✓ - Forum Windows Vista

15 réponses

Réponse 1 / 15

Utilisateur anonyme
19 mars 2008 à 17:08

Salut !

Si tu as le rapport AVG anti-spyware poste le moi stp.

*****************************************************

Puis fait ceci :

Télécharge HJT

'
Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'situé dans le dossier dans C:\ , en 'HJT.exe' <<<<<<<<< Important !!! <<<<<<<

Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe

-> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ...

Clique droit sur l'icône -> '' Executer en tant qu'administrateur '' , et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )

Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm

A+

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
20 mars 2008 à 10:40

Hello,

merci de m'aider !

voila j'ai refait une analyse avg voici le rapport:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 10:02:11 20/03/2008

+ Résultat de l'analyse:

C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@himedia.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@adtech[1].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@atdmt[3].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\lombard_vadim@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\lombard_vadim@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\lombard_vadim@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.
C:\Users\LOMBARD VADIM\AppData\Roaming\Microsoft\Windows\Cookies\Low\lombard_vadim@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.

Fin du rapport

par contre j'arrive pas à enregistrer hijack dans c: programmes, probleme administrateur apparemen... j'attends tes conseils plutot que de faire des betises, merci...

Réponse 2 / 15

Utilisateur anonyme
20 mars 2008 à 17:11

Re ,

Ok pas grave installe le ou tu peux.
Il y a une session Admin sur ton pc ?

A+

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 09:56

Re,

c curieux je n'ai vu ton message que ce matin... bref,

Finalement le truc de l'administrateur c rien, voici le rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:51:21, on 21/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\NetProject\scit.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [pjlfic] c:\users\lombard vadim\appdata\local\pjlfic.exe pjlfic
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
O13 - Gopher Prefix:
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

Réponse 3 / 15

Utilisateur anonyme
21 mars 2008 à 15:30

Re , infection magic control ;)

******************************

Télécharge Navilog1

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis l'option 1

→ Pendant le scan ton anti-virus risque de gueuler , ne t'inquiete pas c'est normal ;)

Patiente jusqu'au message

*** Analyse Termine le ..... ***

Puis poste moi le rapport.

( rapport situé a la racine du disque -> C:\Fixnavi.txt )

A+

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 16:23

Re,
ça me met que GetPaths.exe a cessé de fonctionner et le scan s'arrete...

windows me propose de fermer le programme et de chercher si une solution est dispo...

J'ai oublié de te dire que j'avais un peu tripatouiller hijack avant de te contacter, j'ai coché certains trucs en me référant à des exemples similaires dans le forum... j'ai pe etre fé une connerie...jattends tes conseils, merci.

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 16:48

Encore une chose,

Navilog 1 me met, qd a lui, toute uen série d'accès refusé puis " impossible de trouver le fichier script
( C: GetPaths.vbs ), (SetPaths.bat n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commande
impossible d trouver ( C: SetPaths.bat)" voila exactement ce kil en est, a+.

Réponse 4 / 15

Utilisateur anonyme
21 mars 2008 à 17:24

Re , excuse moi j'ai pas vu que tu été sous Vista ,

Désactive l'UAC activé , il peut gener l'execution des programmes de désinfection.

Et recommence

A+

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 17:53

Re,

voici le rapport de navilog1:

Search Navipromo version 3.5.0 commencé le 21/03/2008 à 17:41:02,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\Windows ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\ProgramData ***

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans c:\users\lombard vadim\appdata\roaming\microsoft\windows\start menu\programs ***

*** Recherche dossiers dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\Program Files ***

*** Recherche dossiers dans C:\Users\LOMBARD VADIM\AppData\Roaming ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.dat
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_nav.dat
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_navps.dat

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *

* Recherche dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\LOMBARD VADIM\AppData\Local *

Fichiers suspects :

pjlfic.exe trouvé !

*** Recherche fichiers ***

C:\Windows\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\Windows\system32 :

* Dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft :

* Dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 :

* Dans C:\Users\LOMBARD VADIM\AppData\Local :

pjlfic.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !

4)Recherche fichiers connus :

*** Analyse terminée le 21/03/2008 à 17:48:29,76 ***

jattends tes conseils, a+

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 15

Utilisateur anonyme
21 mars 2008 à 17:54

Re ,

Relance Navilog1 > Option 2 > poste le rapport.

**************************************

Merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'situé dans le dossier dans C:\ , en 'HJT.exe' <<<<<<<<< Important !!! <<<<<<<

Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe

-> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ...</gras

Et reposte moi un rapport Hijackthis avec celui de Navilog.

A+

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 18:06

Re,

voici le rapport navilog option 2 :

Clean Navipromo version 3.5.0 commencé le 21/03/2008 à 17:57:52,34

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.dat réalisée avec succès !
Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe réalisée avec succès !
Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_nav.dat réalisée avec succès !
Copie C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_navps.dat réalisée avec succès !

*** Suppression des fichiers trouvés avec Catchme ***

C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.dat supprimé !
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic.exe supprimé !
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_nav.dat supprimé !
C:\Users\LOMBARD VADIM\AppData\Local\pjlfic_navps.dat supprimé !

** 2ème passage avec résultats Catchme **

* Dans C:\Windows\system32 *

* Dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *

* Dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *

* Dans C:\Users\LOMBARD VADIM\AppData\Local *

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\Windows\System32 *

* Suppression dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *

* Suppression dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *

* Suppression dans C:\Users\LOMBARD VADIM\AppData\Local *

*** Suppression dossiers dans C:\Windows ***

*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !

*** Suppression dossiers dans C:\ProgramData ***

*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !

*** Suppression dossiers dans c:\users\lombard vadim\appdata\roaming\microsoft\windows\start menu\programs ***

*** Suppression dossiers dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\Program Files ***

*** Suppression dossiers dans C:\Users\LOMBARD VADIM\AppData\Roaming ***

*** Suppression fichiers ***

C:\Windows\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\LOMBAR~1\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans C:\Windows\system32 *

* Dans C:\Users\LOMBARD VADIM\AppData\Local\Microsoft *

* Dans C:\Users\LOMBARD VADIM\AppData\Local\virtualstore\windows\system32 *

* Dans C:\Users\LOMBARD VADIM\AppData\Local *

*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !

*** Nettoyage terminé le 21/03/2008 à 18:00:23,60 ***

par contre jai renommé le programme mais le chemin d'accès n'a pa changé...

0

Réponse 6 / 15

Utilisateur anonyme
21 mars 2008 à 18:07

Reposte un rapport Hijackthis , on va voir.

A+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 18:10

Re,

le voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:48, on 21/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\NetProject\scit.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Program Files\NetProject\sbmdl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
O13 - Gopher Prefix:
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

0

Réponse 7 / 15

Utilisateur anonyme
21 mars 2008 à 18:14

Reu'

Si c'est bon , tu as bien renommé ;)

*******************************************************************

Relance hijackthis , Choisis ' Do a system scan ' Et fixe ces lignes : ( coche la case à leurs gauches > ' fixchecked ')

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.safeiegate.com/redirect.php (file missing)

************************************************

Télécharge smitfraudfix
Dézippe le ( clic droit -> éxtraire tout )
Exécute le en MSE, choisit l’option 1, il va générer un rapport
Colle le sur le post stp.

a+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 18:32

Re,

actions hijack effectuées, mais j'ai du télécharger smitfraud par http ( surementent a cause des modifs compte utilisateur) et j'ai pas d'histoire zip ? c grave ?

a+

0

Réponse 8 / 15

Utilisateur anonyme
21 mars 2008 à 18:33

Non pas grave , continu

A+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 18:36

Re,

voici le rapport smitfraud :

SmitFraudFix v2.305

Scan done at 18:34:38,74, 21/03/2008
Run from C:\Users\LOMBARD VADIM\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Windows\system32\drivers\CDAC11BA.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\NetProject\scit.exe
C:\Program Files\NetProject\sbmntr.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\NetProject\scm.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\NetProject\sbsm.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\LOMBARD VADIM

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\LOMBARD VADIM\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\LOMBAR~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Helper\ FOUND !
C:\Program Files\NetProject\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000000

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

0

Réponse 9 / 15

Utilisateur anonyme
21 mars 2008 à 18:38

Heureusement que j'ai dit de le lancer en mode sans echec ...

Redémarre en MSE

Relance Smitfraudfix , choisi l'option 2

-------Redémarre normalement--------

→ Poste moi le rapport obtenu

A+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 18:46

Oups dsl j'ai merdé la...

voici le rapport smitfraud :

SmitFraudFix v2.305

Scan done at 18:40:17,14, 21/03/2008
Run from C:\Users\LOMBARD VADIM\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Program Files\Helper\ Deleted
C:\Program Files\NetProject\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E009A94C-B647-4572-B053-E12DCB93BC59}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

ca a déja l'air d'aller mieu en tout cas...C COOL

0

Réponse 10 / 15

Utilisateur anonyme
21 mars 2008 à 18:47

Re

c'est le but =P

Reposte un rapport Hijackthis stp

a+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 18:48

Re,

voici le rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:16, on 21/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

0

Réponse 11 / 15

Utilisateur anonyme
21 mars 2008 à 18:53

Re , okiii

Désinstalle SweetIm via ' programme et fonctionnalité ' stp.

Puis si le dossier ' C:\programme\Macrogaming ' Existe encore , supprime le.

************************************************************

Touche ' Windows+R ' ( reviens à executer ) > ' services.msc ' ,

- Clic droit sur le service cité - Service de l'iPod (iPod Service)
- propriétés
- et dans "type de démarrage" et mets le sur « désactivé ».
- Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté »

Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html

******************************************************
Met à jour JAVA --> https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

*****************************************************

Ta version d'Adobe n'est pas à jour ... désinstalle ta version acutelle en passant par ' Programmes et fonctionnalité '

Puis télécharge la dernière, via ce site --> https://get2.adobe.com/reader/otherversions/

Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :

https://www.adobe.com/support/security/bulletins/apsb07-01.html

*************************************************

Délaisse Avast au profit d'Antivir , contrairement à ce que tout le monde pense , Avast n'est pas aussi bien que l'on pourrais le croire regarde le classement des AV
et constate par toi même → Avast vs Antivir

Vire Avast → Désinstalle Avast 'proprement' ( merci espion3004)

Et télécharge Antivir ( PersonnalEdition Classic) → ici

Tuto Installation + configuration Antivir → https://www.malekal.com/avira-free-security-antivirus-gratuit/

Tuto Installation : → https://www.astucesinternet.com/modules/news/article.php?storyid=253

Pour le rendre encore plus discret....

*******************************************

Pas de pare-feu , télécharge Kerio

***********************************

Fait tout cela et reposte moi un rapport Hijackthis ;)

a+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 19:01

Oufff jarrive deja pa a trouver de programme sweet im...

Mais merci pour toutes ces infos en tout k !

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 19:07

Autant pour moi...dsl je dois être fatigué, je fé tout ça

a+

0

Réponse 12 / 15

Utilisateur anonyme
21 mars 2008 à 19:05

Re

Pas grave continu =)

a+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 19:50

Re,

j'ai tout fait sauf pour le pare feu, car antivir me détecte des problemes dans smitfraud et navilog, je les desinstalle ?

merci a+.

0

Réponse 13 / 15

Utilisateur anonyme
21 mars 2008 à 19:57

quel rapport avec le pare-feu ?

Ne tiens pas compte des avertissements d'antivir.

++

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
21 mars 2008 à 20:04

Re,

a apparement kerio marche pa sous vista...

mais voici le rapport Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:09, on 21/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {1ED954DE-6B99-41D6-BEAC-93ECA3313BB6} (CheckVer Control) - file:///D:/CheckVer.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

0

Réponse 14 / 15

Utilisateur anonyme
21 mars 2008 à 20:09

Re ,

Oui j'avais un doute ...

Télécharge ZoneAlarm Lit bien tout l'article pour éviter les surprises.

Des soucis avec ?

********

A+

0

DarkVadim Messages postés 17 Date d'inscription mercredi 19 mars 2008 Statut Membre Dernière intervention 23 mars 2008
23 mars 2008 à 19:41

Re,

juste pour savoir si zone alarm est vraiment obligatoire, car si c vraiment cho a installer...je voudrais pas faire des erreurs ou ne plus pouvoir faire certains trucs...

Sinon est-ce ke tu penses que ce virus a pu infecté mon i pod aussi ?

Voila c tout j'attends tes derniers conseils, mais en tout k j'ajoute que ce site est vraiment très utile, t'as été sympa et patient, de plus mon ordi marche du tonnerre !

Donc merci beaucoup et bonne continuation !

A+

0

Réponse 15 / 15

Utilisateur anonyme
23 mars 2008 à 19:50

Oui tu dois installer ZA , c'est obligatoire.

Et non ne t'inquiète pas , c'est simple à l'installation ( d'ailleurs je le recommande car il est simple d'utilisation )

Sinon pour ton ipod je ne pense pas , au pire scanne-le avec ton anti-virus.

On va finir =) :

*****************************************

→ Télécharge CleanUp452 ( Primary download site ... )

→ Lance-le et choisi l'option ' cleanup! '

→ Poste le rapport.

Tutorial: http://pageperso.aol.fr/balltrap34/democleanup.htm ( merci à balltrap34 )

************************************

→ Télécharge clean : http://www.malekal.com/download/clean.zip

→ Dézippe-le ( clique droit , extraire tout)

→ Lance clean.cmd ( ou clean ) en faisant un clique droit dessus ' Executer en tant d'administrateur '

→ Au menu principal , Choisi l'option 1 et poste moi le rapport.

(- Où est le rapport clean ? : « Ordinateur » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

Note : Tu auras peut-être un message qui t'invitera a uploader un fichier , fait-le dès que tu pourras.

A+

0

Posez votre question

Discussions similaires

W32 L32: correspondance entre taille US et taille française

efg - 6 oct. 2008 à 18:20
sibel - 25 janv. 2015 à 18:19

6 réponses

À quoi correspond 32x32 US en taille française pour un jean ?

Alison1958 - 3 janv. 2011 à 12:35
Thordendall - 3 janv. 2011 à 23:02

1 réponse

Taille Us - taille française

Utilisateur anonyme - 8 nov. 2009 à 18:20
Utilisateur anonyme - 27 avril 2010 à 20:16

3 réponses

Commande internet correspondance taille US pour jean homme.

Larkos - 8 janv. 2020 à 21:50
Zabou - 29 avril 2023 à 17:29

5 réponses

Taille française/taille US (jeans). HELP plz!

STL75 - 21 juil. 2011 à 17:46
superthevip - 22 juil. 2011 à 17:22

3 réponses

Devenez membre en quelques clics

Connectez-vous simplement avec ceux qui partagent vos intérêts

Suivez vos discussions facilement et obtenez plus de réponses

Mettez en avant votre expertise et aidez les autres membres

Profitez de nombreuses fonctionnalités supplémentaires en vous inscrivant

S'inscrire

Discussions similaires

Newsletters