Sujet Précédent Sujet Suivant

Re: trojandownloader.xs

pipou25 -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Rebonjour,

voici le résultat de Monjack.exe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:03, on 08/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\rqjeripw\zejypozu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\rkxcvezi.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\user\Mes documents\monjack.exe.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44C37A46-B37E-4162-9D9A-828E6A824B4D} - C:\WINDOWS\system32\iiFWqOec.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {8E1BFC0E-8AD2-424D-AC8A-06038481516E} - C:\WINDOWS\system32\ljJYsTlJ.dll
O3 - Toolbar: vnbptxlf - {2A800B4E-351C-4230-B792-D73A5EA9CB31} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [78032471] rundll32.exe "C:\WINDOWS\system32\rqcvqpbl.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swkiqkjv] C:\WINDOWS\system32\rkxcvezi.exe
O4 - HKLM\..\Policies\Explorer\Run: [YL5Roy6tRA] C:\Documents and Settings\All Users\Application Data\rqjeripw\zejypozu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Registration RAYMAN
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - Winlogon Notify: ljJYsTlJ - C:\WINDOWS\SYSTEM32\ljJYsTlJ.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Documents and Settings\user\Mes documents\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
1er choses ne changes plus de postes , on restes sur celui-ci ... merci !

2eme chose , début de la désinfection :

Télécharges VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , postes le.
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

puis ensuite, fait un autre scan Hijack ( monjack) et postes le aussi .
0
Réponse 2 / 26
pipou25
 
Rebonjour,

je viens de Télécharges VirtumundoBegone sur mon bureau, mon ordi à redémaré, mais le message bleu n'apparait pas sur le fond d'écran. Il me semble l'avoir vu un jour mais j'ai remis mon vrai fond d'écran, doit-je le remettre si c'est possible?

Ensuite, j'ai refait une analyse avec monjack. La voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:12, on 08/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Documents and Settings\All Users\Application Data\rqjeripw\zejypozu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\rkxcvezi.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Mes documents\monjack.exe.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {8D059502-FAA5-46DB-BD6B-E0E11E92EA5C} - C:\WINDOWS\system32\iiFWqOec.dll
O3 - Toolbar: vnbptxlf - {2A800B4E-351C-4230-B792-D73A5EA9CB31} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [78032471] rundll32.exe "C:\WINDOWS\system32\rqcvqpbl.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swkiqkjv] C:\WINDOWS\system32\rkxcvezi.exe
O4 - HKLM\..\Policies\Explorer\Run: [YL5Roy6tRA] C:\Documents and Settings\All Users\Application Data\rqjeripw\zejypozu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Registration RAYMAN
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Documents and Settings\user\Mes documents\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
0
Réponse 3 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
poste moi le rapport VBG.TXT qui est sur ton bureau si possible ...
0
Réponse 4 / 26
pipou25
 
Rebonjour,

j'ai oublier de vous envyer le rapport de VirtumundoBegone. Le voici:

[04/08/2008, 20:03:30] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\user\Bureau\VirtumundoBeGone.exe" )
[04/08/2008, 20:03:34] - Detected System Information:
[04/08/2008, 20:03:34] - Windows Version: 5.1.2600, Service Pack 2
[04/08/2008, 20:03:34] - Current Username: user (Admin)
[04/08/2008, 20:03:34] - Windows is in NORMAL mode.
[04/08/2008, 20:03:34] - Searching for Browser Helper Objects:
[04/08/2008, 20:03:34] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:03:34] - BHO 2: {44C37A46-B37E-4162-9D9A-828E6A824B4D} ()
[04/08/2008, 20:03:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:34] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:03:34] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:03:34] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:03:34] - BHO 4: {8E1BFC0E-8AD2-424D-AC8A-06038481516E} ()
[04/08/2008, 20:03:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:34] - Checking for HKLM\...\Winlogon\Notify\ljJYsTlJ
[04/08/2008, 20:03:34] - Found: HKLM\...\Winlogon\Notify\ljJYsTlJ - This is probably Virtumundo.
[04/08/2008, 20:03:34] - Assigning {8E1BFC0E-8AD2-424D-AC8A-06038481516E} MSEvents Object
[04/08/2008, 20:03:34] - BHO list has been changed! Starting over...
[04/08/2008, 20:03:34] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:03:34] - BHO 2: {44C37A46-B37E-4162-9D9A-828E6A824B4D} ()
[04/08/2008, 20:03:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:34] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:03:34] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:03:34] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:03:34] - BHO 4: {8E1BFC0E-8AD2-424D-AC8A-06038481516E} (MSEvents Object)
[04/08/2008, 20:03:34] - ALERT: Found MSEvents Object!
[04/08/2008, 20:03:34] - Finished Searching Browser Helper Objects
[04/08/2008, 20:03:34] - *** Detected MSEvents Object
[04/08/2008, 20:03:35] - Trying to remove MSEvents Object...
[04/08/2008, 20:03:36] - Terminating Process: IEXPLORE.EXE
[04/08/2008, 20:03:38] - Terminating Process: RUNDLL32.EXE
[04/08/2008, 20:03:39] - Disabling Automatic Shell Restart
[04/08/2008, 20:03:39] - Terminating Process: EXPLORER.EXE
[04/08/2008, 20:03:39] - Suspending the NT Session Manager System Service
[04/08/2008, 20:03:39] - Terminating Windows NT Logon/Logoff Manager
[04/08/2008, 20:03:40] - Re-enabling Automatic Shell Restart
[04/08/2008, 20:03:40] - File to disable: C:\WINDOWS\system32\ljJYsTlJ.dll
[04/08/2008, 20:03:40] - Renaming C:\WINDOWS\system32\ljJYsTlJ.dll -> C:\WINDOWS\system32\ljJYsTlJ.dll.vir
[04/08/2008, 20:03:40] - File successfully renamed!
[04/08/2008, 20:03:40] - Removing HKLM\...\Browser Helper Objects\{8E1BFC0E-8AD2-424D-AC8A-06038481516E}
[04/08/2008, 20:03:40] - Removing HKCR\CLSID\{8E1BFC0E-8AD2-424D-AC8A-06038481516E}
[04/08/2008, 20:03:40] - Adding Kill Bit for ActiveX for GUID: {8E1BFC0E-8AD2-424D-AC8A-06038481516E}
[04/08/2008, 20:03:41] - Deleting ATLEvents/MSEvents Registry entries
[04/08/2008, 20:03:41] - Removing HKLM\...\Winlogon\Notify\ljJYsTlJ
[04/08/2008, 20:03:41] - Searching for Browser Helper Objects:
[04/08/2008, 20:03:41] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:03:41] - BHO 2: {44C37A46-B37E-4162-9D9A-828E6A824B4D} ()
[04/08/2008, 20:03:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:41] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:03:41] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:03:41] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:03:41] - Finished Searching Browser Helper Objects
[04/08/2008, 20:03:41] - Finishing up...
[04/08/2008, 20:03:41] - A restart is needed.
[04/08/2008, 20:03:46] - Attempting to Restart via STOP error (Blue Screen!)

[04/08/2008, 20:08:21] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\user\Bureau\VirtumundoBeGone.exe" )
[04/08/2008, 20:08:33] - Detected System Information:
[04/08/2008, 20:08:33] - Windows Version: 5.1.2600, Service Pack 2
[04/08/2008, 20:08:33] - Current Username: user (Admin)
[04/08/2008, 20:08:33] - Windows is in NORMAL mode.
[04/08/2008, 20:08:33] - Searching for Browser Helper Objects:
[04/08/2008, 20:08:33] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:08:33] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:08:33] - BHO 3: {8D059502-FAA5-46DB-BD6B-E0E11E92EA5C} ()
[04/08/2008, 20:08:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:08:33] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:08:33] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:08:33] - Finished Searching Browser Helper Objects
[04/08/2008, 20:08:33] - Finishing up...
[04/08/2008, 20:08:33] - Nothing found! Exiting...

[04/08/2008, 20:27:23] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\user\Bureau\VirtumundoBeGone.exe" )
[04/08/2008, 20:27:25] - Detected System Information:
[04/08/2008, 20:27:25] - Windows Version: 5.1.2600, Service Pack 2
[04/08/2008, 20:27:25] - Current Username: user (Admin)
[04/08/2008, 20:27:25] - Windows is in NORMAL mode.
[04/08/2008, 20:27:25] - Searching for Browser Helper Objects:
[04/08/2008, 20:27:25] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:27:25] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:27:25] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/08/2008, 20:27:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:27:25] - No filename found. Continuing.
[04/08/2008, 20:27:25] - BHO 4: {8D059502-FAA5-46DB-BD6B-E0E11E92EA5C} ()
[04/08/2008, 20:27:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:27:25] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:27:25] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:27:25] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[04/08/2008, 20:27:25] - Finished Searching Browser Helper Objects
[04/08/2008, 20:27:25] - Finishing up...
[04/08/2008, 20:27:25] - Nothing found! Exiting...

Merci de votre future réponse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
pipou25
 
RE,

Le revoilà,

[04/08/2008, 20:03:30] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\user\Bureau\VirtumundoBeGone.exe" )
[04/08/2008, 20:03:34] - Detected System Information:
[04/08/2008, 20:03:34] - Windows Version: 5.1.2600, Service Pack 2
[04/08/2008, 20:03:34] - Current Username: user (Admin)
[04/08/2008, 20:03:34] - Windows is in NORMAL mode.
[04/08/2008, 20:03:34] - Searching for Browser Helper Objects:
[04/08/2008, 20:03:34] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:03:34] - BHO 2: {44C37A46-B37E-4162-9D9A-828E6A824B4D} ()
[04/08/2008, 20:03:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:34] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:03:34] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:03:34] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:03:34] - BHO 4: {8E1BFC0E-8AD2-424D-AC8A-06038481516E} ()
[04/08/2008, 20:03:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:34] - Checking for HKLM\...\Winlogon\Notify\ljJYsTlJ
[04/08/2008, 20:03:34] - Found: HKLM\...\Winlogon\Notify\ljJYsTlJ - This is probably Virtumundo.
[04/08/2008, 20:03:34] - Assigning {8E1BFC0E-8AD2-424D-AC8A-06038481516E} MSEvents Object
[04/08/2008, 20:03:34] - BHO list has been changed! Starting over...
[04/08/2008, 20:03:34] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:03:34] - BHO 2: {44C37A46-B37E-4162-9D9A-828E6A824B4D} ()
[04/08/2008, 20:03:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:34] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:03:34] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:03:34] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:03:34] - BHO 4: {8E1BFC0E-8AD2-424D-AC8A-06038481516E} (MSEvents Object)
[04/08/2008, 20:03:34] - ALERT: Found MSEvents Object!
[04/08/2008, 20:03:34] - Finished Searching Browser Helper Objects
[04/08/2008, 20:03:34] - *** Detected MSEvents Object
[04/08/2008, 20:03:35] - Trying to remove MSEvents Object...
[04/08/2008, 20:03:36] - Terminating Process: IEXPLORE.EXE
[04/08/2008, 20:03:38] - Terminating Process: RUNDLL32.EXE
[04/08/2008, 20:03:39] - Disabling Automatic Shell Restart
[04/08/2008, 20:03:39] - Terminating Process: EXPLORER.EXE
[04/08/2008, 20:03:39] - Suspending the NT Session Manager System Service
[04/08/2008, 20:03:39] - Terminating Windows NT Logon/Logoff Manager
[04/08/2008, 20:03:40] - Re-enabling Automatic Shell Restart
[04/08/2008, 20:03:40] - File to disable: C:\WINDOWS\system32\ljJYsTlJ.dll
[04/08/2008, 20:03:40] - Renaming C:\WINDOWS\system32\ljJYsTlJ.dll -> C:\WINDOWS\system32\ljJYsTlJ.dll.vir
[04/08/2008, 20:03:40] - File successfully renamed!
[04/08/2008, 20:03:40] - Removing HKLM\...\Browser Helper Objects\{8E1BFC0E-8AD2-424D-AC8A-06038481516E}
[04/08/2008, 20:03:40] - Removing HKCR\CLSID\{8E1BFC0E-8AD2-424D-AC8A-06038481516E}
[04/08/2008, 20:03:40] - Adding Kill Bit for ActiveX for GUID: {8E1BFC0E-8AD2-424D-AC8A-06038481516E}
[04/08/2008, 20:03:41] - Deleting ATLEvents/MSEvents Registry entries
[04/08/2008, 20:03:41] - Removing HKLM\...\Winlogon\Notify\ljJYsTlJ
[04/08/2008, 20:03:41] - Searching for Browser Helper Objects:
[04/08/2008, 20:03:41] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:03:41] - BHO 2: {44C37A46-B37E-4162-9D9A-828E6A824B4D} ()
[04/08/2008, 20:03:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:03:41] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:03:41] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:03:41] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:03:41] - Finished Searching Browser Helper Objects
[04/08/2008, 20:03:41] - Finishing up...
[04/08/2008, 20:03:41] - A restart is needed.
[04/08/2008, 20:03:46] - Attempting to Restart via STOP error (Blue Screen!)

[04/08/2008, 20:08:21] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\user\Bureau\VirtumundoBeGone.exe" )
[04/08/2008, 20:08:33] - Detected System Information:
[04/08/2008, 20:08:33] - Windows Version: 5.1.2600, Service Pack 2
[04/08/2008, 20:08:33] - Current Username: user (Admin)
[04/08/2008, 20:08:33] - Windows is in NORMAL mode.
[04/08/2008, 20:08:33] - Searching for Browser Helper Objects:
[04/08/2008, 20:08:33] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:08:33] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:08:33] - BHO 3: {8D059502-FAA5-46DB-BD6B-E0E11E92EA5C} ()
[04/08/2008, 20:08:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:08:33] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:08:33] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:08:33] - Finished Searching Browser Helper Objects
[04/08/2008, 20:08:33] - Finishing up...
[04/08/2008, 20:08:33] - Nothing found! Exiting...

[04/08/2008, 20:27:23] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\user\Bureau\VirtumundoBeGone.exe" )
[04/08/2008, 20:27:25] - Detected System Information:
[04/08/2008, 20:27:25] - Windows Version: 5.1.2600, Service Pack 2
[04/08/2008, 20:27:25] - Current Username: user (Admin)
[04/08/2008, 20:27:25] - Windows is in NORMAL mode.
[04/08/2008, 20:27:25] - Searching for Browser Helper Objects:
[04/08/2008, 20:27:25] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[04/08/2008, 20:27:25] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[04/08/2008, 20:27:25] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/08/2008, 20:27:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:27:25] - No filename found. Continuing.
[04/08/2008, 20:27:25] - BHO 4: {8D059502-FAA5-46DB-BD6B-E0E11E92EA5C} ()
[04/08/2008, 20:27:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/08/2008, 20:27:25] - Checking for HKLM\...\Winlogon\Notify\iiFWqOec
[04/08/2008, 20:27:25] - Key not found: HKLM\...\Winlogon\Notify\iiFWqOec, continuing.
[04/08/2008, 20:27:25] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[04/08/2008, 20:27:25] - Finished Searching Browser Helper Objects
[04/08/2008, 20:27:25] - Finishing up...
[04/08/2008, 20:27:25] - Nothing found! Exiting...

merci
0
Réponse 6 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Voilà pour la suite :
Télécharger ComboFix (par sUBs) sur le Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Démarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Double cliquer combofix.exe.

Appuyer sur la touche Y (Yes) pour démarrer le scan
Le rapport sera crée dans: C:\Combofix.txt

postes le rapport combo fix , fait ensuite un scan monjack et postes aussi le rapport svp

Puis attends les instructions ...
0
Réponse 7 / 26
pipou55
 
re,

désolé d'être obliger de vous ecrire sur mon autre ordi, mais je crois que l'autre à buger. Ca fait facile 20 min que mon ordi me dit:

"compte-rendu en cours de préparation.
ne lancer aucun programme tant que combiFix n'est pas finis"

sans rien faire.

Voilà pourquoi je vous écrit sur l'autre.

Es-ce normal que ce soit si long? doit-je quitter? que faire?

est-il vraiment très infecté?

merci pour la réponse, a bientot.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Attent encore un peu ( environ 15 min ) ....

Si c'est toujours en court ,fait ctrl/alt/supp pour récupperer la main . postes le rapport si il y en un avec un nouveau scan monjack .
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > sKe69 Messages postés 21955 Statut Contributeur sécurité
 
Alors ... tu en est où dis-moi ?
0
Réponse 8 / 26
pipou55
 
Je suis toujours au meme endroit, je vais finir par faire ctrl, alt, suppr. et vous envoyer le résultat de monjack.
0
Réponse 9 / 26
pipou25
 
Je viens de faire l'annulation de l'analyse.

Je t'envois l'analyse de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:05, on 2008-04-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\CF14847.exe
C:\Documents and Settings\All Users\Application Data\rqjeripw\zejypozu.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\rkxcvezi.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\ComboFix\grep.cfexe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\user\Mes documents\monjack.exe.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: vnbptxlf - {2A800B4E-351C-4230-B792-D73A5EA9CB31} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swkiqkjv] C:\WINDOWS\system32\rkxcvezi.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [scrgrcjf] C:\WINDOWS\system32\kfmfgbyr.exe
O4 - HKLM\..\Policies\Explorer\Run: [YL5Roy6tRA] C:\Documents and Settings\All Users\Application Data\rqjeripw\zejypozu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Registration RAYMAN
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Documents and Settings\user\Mes documents\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Il y a du mieux ... as tu un rapport combofix ? si oui ,postes le .
Ton Pc va-t-il mieux ?
si tu peut me répondre .... ;)

Sinon à demain ,
il y a encore pas mal de choses à voir ...
0
Réponse 10 / 26
pipou25
 
Je n'ai pas de rapport de comboFix, est-ce normal?

Pour l'instant je n'ai pas eu de pub ni rien d'autre. C'est peut etre bon signe.

Y a t-il qqchose de rapide a faire avant que j'aille me coucher. sinon je peut laisser l'ordi travailler pendant que je suis au lit.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Il est fortement conseillé de l'étiendre temps que l' on a pas finis !
On reprendra donc demain pour le restes des opérations ...

bonne nuitée à toi ;p
0
Réponse 11 / 26
pipou25
 
ok merci,

Je serais présent demain au environ de 18h30, je te ferai signe,

bonne soirée, bonne nuit.

A demain.
0
Réponse 12 / 26
pipou
 
Bonjour,

en allumant mon ordi, une fenêtre s'est ouverte en me disant que des logiciels malveillants se sont supprimés, serais-ce le trojan?

il me demande si je veux avoir l'analyse. faut-il vous l'envoyer?

merci.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ne fait rien pour l'instant avec cette fenêtre ...

voilà ce qu'on va faire et suit les instructions à la lettre :

Télécharges SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Déconnectes toi, désactives ton anti virus ;

installes le à la racine de C\ (et pas ailleur ! ): double clique sur l'exe pour le décompresser et lancer le fix.

Utilisation -----> option 1 - Recherche :
Double clique sur smitfraudfix.cmd . Sélectionnes 1 pour créer un rapport des fichiers responsables de l'infection.

Réactives ton anti virus , reconnectes toi .

Postes le rapport ( qui se trouve normalement à la racine de C\ )

Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité .

Ne fais rien d'autre et attends le reste des opérations ...
0
Réponse 13 / 26
pipou
 
re,

voici le rapport:

SmitFraudFix v2.310

Rapport fait à 19:43:54.98, 2008-04-09
Executé à partir de C:\Documents and Settings\user\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci
0
Réponse 14 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Voilà ce que tu vas faire :
Suite de la manipe ( petit nettoyage ), fait exactement ce qui suit :

* Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

*Double click sur SmitfraudFix.exe

* Sélectionner 2 et presser Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer
le fond d'écran et supprimer les clés de registre de l'infection.

* Le correctif déterminera si le fichier wininet.dll est infecté.
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.

* Un redemarrage sera peut être nécessaire pour terminer la procedure de nettoyage.

Le rapport se trouve à la racine deC:\
(dans le fichier rapport.txt)

postes moi ce dernier rapport dans ton prochain message et attends les instructions ...

ps : n'oublis pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessus :)

Si tu as le moindre souci, fais moi le savoir .397 message(s) posté(s) depuis le samedi 15 mars 2008
0
Réponse 15 / 26
pipou
 
re,

voilà l'analyse de SmitfraudFix.exe:

SmitFraudFix v2.310

Rapport fait à 20:05:02.56, 2008-04-09
Executé à partir de C:\Documents and Settings\user\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci
0
Réponse 16 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistres-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Refermes le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

TUTO :: http://www.malekal.com/Adware.Magic_Control
0
Réponse 17 / 26
pipou
 
re,

voilà le rapport de fixnavi.:

SmitFraudFix v2.310

Rapport fait à 20:05:02.56, 2008-04-09
Executé à partir de C:\Documents and Settings\user\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{357C6035-6FC4-4DCA-9D29-EE54A691C08F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

merci
0
Réponse 18 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
ce n'est pas le bon rapport ;)

c'est le rapport fixnavi.txt ( sous C normalement ) qu'il me faut ...
0
Réponse 19 / 26
pipou
 
re,

j'espère que c'est celui là:

Search Navipromo version 3.5.2 commencé le 2008-04-09 à 20:20:15.62

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "user"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\user\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\user\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\user\menudm~1\progra~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\user\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\user\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 2008-04-09 à 20:23:34.93 ***

merci.
0
Réponse 20 / 26
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
ce-ci n'a rien donné ...

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://download.piriform.com/ccsetup205.exe
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
-Internet Explorer: Fichiers Internet Temporaires, Cookies
- Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
-Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.

puis :
• Click sur Registre
• Sélectionner tout (par défaut )
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées
ps:faire la manipe plusieurs fois jusqu'a ce qu'il n'y est plus d'erreur

Après tout cela tu peut remettre les paramêtres de CCleaner par defaut ( soft à garder sur son PC , super utile pour de bons nettoyages ... )

Redémarre ton PC .

Dis moi ce que donne tes messages intempestifs ...
Refait un scan monjack pour analyse .
0

Discussions similaires

Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
re-transfert de mail
amnfayard -
Utilisateur anonyme -

1 réponse
Tr: RE: Undelivered Mail Cher(e)(s) Membre(s)
athena223 -
twilightme -

2 réponses
Le nom des notes de petit papa Noel au piano
Timine -
boboclown -

11 réponses
Remettre mon clavier en Azerty
calimero -
pat -

46 réponses