Détournement connexion
Fermé
Tactus
Messages postés
16
Date d'inscription
lundi 21 janvier 2008
Statut
Membre
Dernière intervention
19 mai 2013
-
24 mars 2008 à 14:03
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 24 mars 2008 à 18:53
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 24 mars 2008 à 18:53
A voir également:
- Détournement connexion
- Gmail connexion - Guide
- Hotmail connexion - Guide
- Facebook connexion - Guide
- Coco.fr connexion - Forum Réseaux sociaux
- Gps sans connexion - Guide
4 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
24 mars 2008 à 14:07
24 mars 2008 à 14:07
slt,
les inféctions sont ici:
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O4 - HKLM\..\Run: [2e6b197a] rundll32.exe "C:\WINXP\system32\ugrkitmg.dll",b
O4 - HKLM\..\Run: [BM2d582ae6] Rundll32.exe "C:\WINXP\system32\emyrchyk.dll",s
_____________
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINXP\system32\emyrchyk.dll
C:\WINXP\system32\ugrkitmg.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
___________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
_______________
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
les inféctions sont ici:
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O4 - HKLM\..\Run: [2e6b197a] rundll32.exe "C:\WINXP\system32\ugrkitmg.dll",b
O4 - HKLM\..\Run: [BM2d582ae6] Rundll32.exe "C:\WINXP\system32\emyrchyk.dll",s
_____________
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINXP\system32\emyrchyk.dll
C:\WINXP\system32\ugrkitmg.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
___________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
_______________
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
24 mars 2008 à 17:11
24 mars 2008 à 17:11
scan avec vundofix (colle le rapport)
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
______________
virtumondebegone (colle le rapport)
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
_________________
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINXP\system32\srstv.ini2
C:\WINXP\system32\yyyay.ini2
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
______________________
remets un hijakchtis
renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
______________
virtumondebegone (colle le rapport)
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
_________________
télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINXP\system32\srstv.ini2
C:\WINXP\system32\yyyay.ini2
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
______________________
remets un hijakchtis
renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Tactus
Messages postés
16
Date d'inscription
lundi 21 janvier 2008
Statut
Membre
Dernière intervention
19 mai 2013
24 mars 2008 à 17:51
24 mars 2008 à 17:51
Merci du temps passé !
Je ne suis déjà plus embêté des publicités et je peux accéde aux forums et sites.
Voilà les derniers rapports :
VUNDOFIX
un fichier supprimé
_________________
VIRTUMONDEBEGONE
[03/24/2008, 17:38:50] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Skertzosymfonik\Bureau\VirtumundoBeGone.exe" )
[03/24/2008, 17:39:00] - Detected System Information:
[03/24/2008, 17:39:00] - Windows Version: 5.1.2600, Service Pack 2
[03/24/2008, 17:39:00] - Current Username: Skertzosymfonik (Admin)
[03/24/2008, 17:39:00] - Windows is in NORMAL mode.
[03/24/2008, 17:39:00] - Searching for Browser Helper Objects:
[03/24/2008, 17:39:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[03/24/2008, 17:39:00] - BHO 2: {1E2A00FF-973B-4220-AE3C-D38D8D38629E} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\ddaxv
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\ddaxv, continuing.
[03/24/2008, 17:39:00] - BHO 3: {27643945-316B-4FB1-8520-1642BA13E966} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\yayyy
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\yayyy, continuing.
[03/24/2008, 17:39:00] - BHO 4: {2E982613-6B6B-4D71-9055-30D6F25B95AD} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\rqoll
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\rqoll, continuing.
[03/24/2008, 17:39:00] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/24/2008, 17:39:00] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[03/24/2008, 17:39:00] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[03/24/2008, 17:39:00] - BHO 8: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[03/24/2008, 17:39:00] - BHO 9: {D0364C6F-4A89-4634-8C71-365E1ACA2F87} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\hggda
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\hggda, continuing.
[03/24/2008, 17:39:00] - BHO 10: {ED493D29-2888-4E7D-898F-2AB1A0FCEF9A} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\nnnmn
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\nnnmn, continuing.
[03/24/2008, 17:39:00] - BHO 11: {F40DD74A-9D79-4344-94DD-371F49C3D94B} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\oppmn
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\oppmn, continuing.
[03/24/2008, 17:39:00] - Finished Searching Browser Helper Objects
[03/24/2008, 17:39:00] - Finishing up...
[03/24/2008, 17:39:00] - Nothing found! Exiting...
_________________
OTMOVEIT
C:\WINXP\system32\srstv.ini2 moved successfully.
C:\WINXP\system32\yyyay.ini2 moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03242008_174103
_________________
HIJACKTHIS renommé en hjkeden
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:36, on 24/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINXP\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINXP\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINXP\system32\notepad.exe
C:\WINXP\system32\rundll32.exe
C:\hijackthis\hjkeden.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F5ECE-C30C-47FD-8365-98281EB91A2A} - C:\WINXP\system32\oppmn.dll
O2 - BHO: (no name) - {1E2A00FF-973B-4220-AE3C-D38D8D38629E} - C:\WINXP\system32\ddaxv.dll (file missing)
O2 - BHO: (no name) - {2E982613-6B6B-4D71-9055-30D6F25B95AD} - C:\WINXP\system32\rqoll.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {D0364C6F-4A89-4634-8C71-365E1ACA2F87} - C:\WINXP\system32\hggda.dll
O2 - BHO: (no name) - {ED493D29-2888-4E7D-898F-2AB1A0FCEF9A} - C:\WINXP\system32\nnnmn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINXP\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/27.44/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D5D30A68-E230-49D9-B4D5-BF7532692945} (CDiscountObj Class) - https://order.cdiscount.com/Account/LoginLight.html?referrer=https://clients.cdiscount.com%2Ferror%2F404.aspx%3F404%3Bhttp%3A%2F%2Fclients.cdiscount.com%3A100%2Fediag%2Factivex%2Fcdiscount.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O20 - Winlogon Notify: ssqqqpq - C:\WINXP\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Je ne suis déjà plus embêté des publicités et je peux accéde aux forums et sites.
Voilà les derniers rapports :
VUNDOFIX
un fichier supprimé
_________________
VIRTUMONDEBEGONE
[03/24/2008, 17:38:50] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Skertzosymfonik\Bureau\VirtumundoBeGone.exe" )
[03/24/2008, 17:39:00] - Detected System Information:
[03/24/2008, 17:39:00] - Windows Version: 5.1.2600, Service Pack 2
[03/24/2008, 17:39:00] - Current Username: Skertzosymfonik (Admin)
[03/24/2008, 17:39:00] - Windows is in NORMAL mode.
[03/24/2008, 17:39:00] - Searching for Browser Helper Objects:
[03/24/2008, 17:39:00] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[03/24/2008, 17:39:00] - BHO 2: {1E2A00FF-973B-4220-AE3C-D38D8D38629E} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\ddaxv
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\ddaxv, continuing.
[03/24/2008, 17:39:00] - BHO 3: {27643945-316B-4FB1-8520-1642BA13E966} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\yayyy
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\yayyy, continuing.
[03/24/2008, 17:39:00] - BHO 4: {2E982613-6B6B-4D71-9055-30D6F25B95AD} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\rqoll
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\rqoll, continuing.
[03/24/2008, 17:39:00] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/24/2008, 17:39:00] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[03/24/2008, 17:39:00] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[03/24/2008, 17:39:00] - BHO 8: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[03/24/2008, 17:39:00] - BHO 9: {D0364C6F-4A89-4634-8C71-365E1ACA2F87} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\hggda
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\hggda, continuing.
[03/24/2008, 17:39:00] - BHO 10: {ED493D29-2888-4E7D-898F-2AB1A0FCEF9A} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\nnnmn
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\nnnmn, continuing.
[03/24/2008, 17:39:00] - BHO 11: {F40DD74A-9D79-4344-94DD-371F49C3D94B} ()
[03/24/2008, 17:39:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/24/2008, 17:39:00] - Checking for HKLM\...\Winlogon\Notify\oppmn
[03/24/2008, 17:39:00] - Key not found: HKLM\...\Winlogon\Notify\oppmn, continuing.
[03/24/2008, 17:39:00] - Finished Searching Browser Helper Objects
[03/24/2008, 17:39:00] - Finishing up...
[03/24/2008, 17:39:00] - Nothing found! Exiting...
_________________
OTMOVEIT
C:\WINXP\system32\srstv.ini2 moved successfully.
C:\WINXP\system32\yyyay.ini2 moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03242008_174103
_________________
HIJACKTHIS renommé en hjkeden
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:36, on 24/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINXP\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINXP\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINXP\system32\notepad.exe
C:\WINXP\system32\rundll32.exe
C:\hijackthis\hjkeden.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E5F5ECE-C30C-47FD-8365-98281EB91A2A} - C:\WINXP\system32\oppmn.dll
O2 - BHO: (no name) - {1E2A00FF-973B-4220-AE3C-D38D8D38629E} - C:\WINXP\system32\ddaxv.dll (file missing)
O2 - BHO: (no name) - {2E982613-6B6B-4D71-9055-30D6F25B95AD} - C:\WINXP\system32\rqoll.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {D0364C6F-4A89-4634-8C71-365E1ACA2F87} - C:\WINXP\system32\hggda.dll
O2 - BHO: (no name) - {ED493D29-2888-4E7D-898F-2AB1A0FCEF9A} - C:\WINXP\system32\nnnmn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINXP\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\Extrafilm FotoFacil\Agent.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/27.44/uploader2.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D5D30A68-E230-49D9-B4D5-BF7532692945} (CDiscountObj Class) - https://order.cdiscount.com/Account/LoginLight.html?referrer=https://clients.cdiscount.com%2Ferror%2F404.aspx%3F404%3Bhttp%3A%2F%2Fclients.cdiscount.com%3A100%2Fediag%2Factivex%2Fcdiscount.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O20 - Winlogon Notify: ssqqqpq - C:\WINXP\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
24 mars 2008 à 18:53
24 mars 2008 à 18:53
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O2 - BHO: (no name) - {0E5F5ECE-C30C-47FD-8365-98281EB91A2A} - C:\WINXP\system32\oppmn.dll
O2 - BHO: (no name) - {1E2A00FF-973B-4220-AE3C-D38D8D38629E} - C:\WINXP\system32\ddaxv.dll (file missing)
O2 - BHO: (no name) - {2E982613-6B6B-4D71-9055-30D6F25B95AD} - C:\WINXP\system32\rqoll.dll (file missing)
O2 - BHO: (no name) - {D0364C6F-4A89-4634-8C71-365E1ACA2F87} - C:\WINXP\system32\hggda.dll
O2 - BHO: (no name) - {ED493D29-2888-4E7D-898F-2AB1A0FCEF9A} - C:\WINXP\system32\nnnmn.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O20 - Winlogon Notify: ssqqqpq - C:\WINXP\
___________________________
faire comme indiqué dans le lien:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_________________________
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\WINXP\system32\oppmn.dll
C:\WINXP\system32\hggda.dll
C:\WINXP\system32\nnnmn.dll
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
O2 - BHO: (no name) - {0E5F5ECE-C30C-47FD-8365-98281EB91A2A} - C:\WINXP\system32\oppmn.dll
O2 - BHO: (no name) - {1E2A00FF-973B-4220-AE3C-D38D8D38629E} - C:\WINXP\system32\ddaxv.dll (file missing)
O2 - BHO: (no name) - {2E982613-6B6B-4D71-9055-30D6F25B95AD} - C:\WINXP\system32\rqoll.dll (file missing)
O2 - BHO: (no name) - {D0364C6F-4A89-4634-8C71-365E1ACA2F87} - C:\WINXP\system32\hggda.dll
O2 - BHO: (no name) - {ED493D29-2888-4E7D-898F-2AB1A0FCEF9A} - C:\WINXP\system32\nnnmn.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O20 - Winlogon Notify: ssqqqpq - C:\WINXP\
___________________________
faire comme indiqué dans le lien:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_________________________
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\WINXP\system32\oppmn.dll
C:\WINXP\system32\hggda.dll
C:\WINXP\system32\nnnmn.dll
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
24 mars 2008 à 15:18
"Fix checked" sur les deux fichiers depuis HijackThis ok.
_____________________
OTMoveIt - rapport :
File/Folder C:\WINXP\system32\emyrchyk.dll not found.
File/Folder C:\WINXP\system32\ugrkitmg.dll not found.
OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03242008_145752
_____________________
Combofix (renommé Bagl)
ComboFix 08-03-23.2 - Skertzosymfonik 2008-03-24 15:01:43.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.306 [GMT 1:00]
Endroit: C:\Documents and Settings\Skertzosymfonik\Bureau\Bagl.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINXP\system32\yyyay.ini
C:\WINXP\system32\yyyay.ini2
.
((((((((((((((((((((((((( Files Created from 2008-02-24 to 2008-03-24 )))))))))))))))))))))))))))))))
.
2008-03-24 14:57 . 2008-03-24 14:57 <REP> d-------- C:\_OTMoveIt
2008-03-24 14:53 . 2008-03-24 14:53 320 --ahs---- C:\WINXP\system32\srstv.ini
2008-03-24 14:53 . 2008-03-24 14:53 320 --ahs---- C:\WINXP\system32\nmppo.ini
2008-03-24 14:53 . 2008-03-24 14:53 320 --ahs---- C:\WINXP\system32\nmnnn.ini
2008-03-24 14:21 . 2008-03-24 14:21 <REP> d-------- C:\ComboFix[1]
2008-03-24 14:19 . 2008-03-24 14:19 315,552 --a------ C:\WINXP\system32\yayyy.dll
2008-03-24 12:52 . 2008-03-24 12:53 315,552 --a------ C:\WINXP\system32\vtsrs.dll
2008-03-24 10:53 . 2008-03-24 10:53 315,552 --a------ C:\WINXP\system32\urqqp.dll
2008-03-23 18:14 . 2008-03-23 18:14 315,504 --a------ C:\WINXP\system32\oppmn.dll
2008-03-23 12:24 . 2008-03-23 12:24 315,504 --a------ C:\WINXP\system32\nnnmn.dll
2008-03-21 00:14 . 2008-03-21 00:15 315,536 --a------ C:\WINXP\system32\vtutu.dll
2008-03-20 22:14 . 2008-03-20 22:15 315,536 --a------ C:\WINXP\system32\khfed.dll
2008-03-20 11:45 . 2008-03-20 11:45 26,688 --a------ C:\WINXP\system32\iifgGAPi.dll
2008-03-20 10:21 . 2008-03-20 10:21 315,536 --a------ C:\WINXP\system32\yayww.dll
2008-03-19 23:18 . 2008-03-19 23:18 315,504 --a------ C:\WINXP\system32\hgddc.dll
2008-03-19 23:15 . 2007-07-30 19:19 271,224 --a------ C:\WINXP\system32\mucltui.dll
2008-03-19 23:15 . 2007-07-30 19:19 207,736 --a------ C:\WINXP\system32\muweb.dll
2008-03-19 23:15 . 2007-07-30 19:18 30,072 --a------ C:\WINXP\system32\mucltui.dll.mui
2008-03-17 22:15 . 2008-03-17 22:15 315,632 --a------ C:\WINXP\system32\ddcay.dll
2008-03-17 21:16 . 2008-03-17 21:16 5,376 --a------ C:\WINXP\system32\drivers\MS1000.sys
2008-03-17 21:15 . 2008-03-17 21:15 <REP> d-------- C:\Program Files\The Cleaner Free
2008-03-17 21:05 . 2008-03-17 21:05 <REP> d--hs---- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-17 21:04 . 2008-03-17 21:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-17 11:05 . 2008-03-17 11:05 315,632 --a------ C:\WINXP\system32\fccyy.dll
2008-03-17 11:00 . 2008-03-17 11:00 25,984 --a------ C:\WINXP\system32\byxyvvv.dll
2008-03-12 10:26 . 2008-03-12 10:26 127 --a------ C:\WINXP\system32\MRT.INI
2008-03-10 17:46 . 2008-03-10 17:46 <REP> d-------- C:\Program Files\Navilog1
2008-03-10 17:36 . 2008-03-11 17:36 1,314,934 ---hs---- C:\WINXP\system32\hrcinxbd.ini
2008-03-09 17:35 . 2008-03-10 17:35 1,317,983 ---hs---- C:\WINXP\system32\gvsnsbga.ini
2008-03-08 17:41 . 2008-03-09 12:14 1,307,681 ---hs---- C:\WINXP\system32\odrxlfry.ini
2008-03-06 17:33 . 2008-03-07 16:39 1,306,995 ---hs---- C:\WINXP\system32\sfnrypye.ini
2008-03-03 14:02 . 2008-03-03 14:02 <REP> d-------- C:\Program Files\Trend Micro
2008-03-03 14:02 . 2008-03-03 14:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-28 21:26 . 2008-02-28 21:26 54,156 --ah----- C:\WINXP\QTFont.qfn
2008-02-28 21:26 . 2008-02-28 21:26 1,409 --a------ C:\WINXP\QTFont.for
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 12:14 --------- d-----w C:\Documents and Settings\Skertzosymfonik\Application Data\TomTom
2008-02-19 12:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\TomTom
2008-02-19 11:51 --------- d-----w C:\Program Files\TomTom HOME
2008-02-14 22:17 --------- d-----w C:\Program Files\Techcity
2008-01-11 05:36 44,544 ----a-w C:\WINXP\system32\dllcache\pngfilt.dll
2008-01-02 10:11 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
1999-06-10 15:11 266 --sh--w C:\Program Files\desktop.ini
1999-06-10 15:11 11,208 ---h--w C:\Program Files\folder.htt
.
((((((((((((((((((((((((((((( snapshot@2008-03-24_14.40.50.69 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-24 14:06:22 16,384 ----a-w C:\WINXP\Temp\Perflib_Perfdata_690.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{172FE1AB-4095-46A1-A144-2BC9EA855FA0}]
2008-03-24 12:53 315552 --a------ C:\WINXP\system32\vtsrs.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1E2A00FF-973B-4220-AE3C-D38D8D38629E}]
C:\WINXP\system32\ddaxv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E982613-6B6B-4D71-9055-30D6F25B95AD}]
C:\WINXP\system32\rqoll.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2008-03-17 11:00 25984 --a------ C:\WINXP\system32\byxyvvv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{87C384FD-0A7B-4131-BF2A-4B724E5E6A34}]
2008-03-24 14:19 315552 --a------ C:\WINXP\system32\yayyy.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ED493D29-2888-4E7D-898F-2AB1A0FCEF9A}]
2008-03-23 12:24 315504 --a------ C:\WINXP\system32\nnnmn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F40DD74A-9D79-4344-94DD-371F49C3D94B}]
2008-03-23 18:14 315504 --a------ C:\WINXP\system32\oppmn.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-18 22:35 68856]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2008-01-18 21:50 20480]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07 196608]
"ctfmon.exe"="C:\WINXP\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 12:12 55296 C:\WINXP\SOUNDMAN.EXE]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-22 23:00 185896]
"LVCOMSX"="C:\WINXP\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 17:47 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 17:37 217088]
"ExtraFilmHemmaAgent"="C:\Program Files\Extrafilm FotoFacil\Agent.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINXP\system32\byxyvvv.dll [2008-03-17 11:00 25984]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxyvvv]
byxyvvv.dll 2008-03-17 11:00 25984 C:\WINXP\system32\byxyvvv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqqqpq]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINXP\system32\yayyy.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINXP\system32\ctfmon.exe
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"2e6b197a"=rundll32.exe "C:\WINXP\system32\ugrkitmg.dll",b
"BM2d582ae6"=Rundll32.exe "C:\WINXP\system32\pqvdlcbb.dll",s
"ExtraFilmHemmaAgent"="C:\Program Files\Extrafilm FotoFacil\Agent.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\REAL\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINXP\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc70ac71-dee1-11dc-8327-0007cb0000ff}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
Contents of the 'Scheduled Tasks' folder
"2008-03-23 12:40:24 C:\WINXP\Tasks\User_Feed_Synchronization-{EF3C375C-B8B3-42B1-8901-597196D9F7B0}.job"
- C:\WINXP\system32\msfeedssync.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 15:07:52
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINXP\system32\winlogon.exe
-> C:\WINXP\system32\byxyvvv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
.
**************************************************************************
.
Completion time: 2008-03-24 15:09:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-24 14:09:38
ComboFix2.txt 2008-03-24 13:41:30
.
2008-03-19 22:42:03 --- E O F ---
____________________________
NAVILOG
Search Navipromo version 3.5.1 commencé le 24/03/2008 à 15:12:14,84
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Skertzosymfonik"
Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : FAT32
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINXP ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\Skertzosymfonik\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Skertzosymfonik\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Skertzosymfonik\menud+~1\progra~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINXP\system32 *
* Recherche dans "C:\Documents and Settings\Skertzosymfonik\locals~1\applic~1" *
* Recherche dans "C:\docume~1\Administrateur\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINXP\system32 :
* Dans "C:\Documents and Settings\Skertzosymfonik\locals~1\applic~1" :
* Dans "C:\docume~1\Administrateur\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
C:\WINXP\system32\srstv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINXP\system32\yyyay.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
*** Analyse terminée le 24/03/2008 à 15:13:35,31 ***