Problème Spyware ...
Leteemicien
Messages postés
5
Statut
Membre
-
sKe69 Messages postés 21955 Statut Contributeur sécurité -
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
J'ai un petit problème de fenêtre spyware comme quoi je suis déjà infecter et qui me propose un logiciel à télécharger pour les éliminer , J'ai déjà fais 2 scan spybot qui m'a trouver quelque spyware , ils sont éliminé mais le problème persiste ! J'ai un petit message de la part de spybot en bas de l'écran me disant que un programme essaie de changer un clef de registre , le message s'affiche toute les 20 seconde tant que je n'accepte pas que le programme change cette fameuse clef ...
Voilà mon rappot HijackThis , j'attend votre aide avec impatiente :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:22:59, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Benjamin\Bureau\HiJackThis.exe
C:\WINDOWS\system32\notepad.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
J'ai un petit problème de fenêtre spyware comme quoi je suis déjà infecter et qui me propose un logiciel à télécharger pour les éliminer , J'ai déjà fais 2 scan spybot qui m'a trouver quelque spyware , ils sont éliminé mais le problème persiste ! J'ai un petit message de la part de spybot en bas de l'écran me disant que un programme essaie de changer un clef de registre , le message s'affiche toute les 20 seconde tant que je n'accepte pas que le programme change cette fameuse clef ...
Voilà mon rappot HijackThis , j'attend votre aide avec impatiente :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:22:59, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Benjamin\Bureau\HiJackThis.exe
C:\WINDOWS\system32\notepad.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
A voir également:
- Problème Spyware ...
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
10 réponses
salut
Fixe sa
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
et vérifie sa car je ne connait pas ses programme
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
et sa car je ne connais pas la tache
C:\WINDOWS\system32\hurkpmnm.exe
bon courage
Fixe sa
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
et vérifie sa car je ne connait pas ses programme
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
et sa car je ne connais pas la tache
C:\WINDOWS\system32\hurkpmnm.exe
bon courage
salut,
Supprime ton hijackthis , instalé ainsi il ne sert pas à grand chose (C:\Documents and Settings\Benjamin\Bureau\HiJackThis.exe )
Fait exactement ce qui suit:
télécharges et instales le logiciel HijackThis :
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
Important :
1-Faire un click droit sur le lien ci-dessus et choisir "enregistrer la cible sous ... " et renommer Hijackthis en "thejack" .
Cliker sur thejack.exe pour lancer l'instale . laisses toi guider et instale le à l'endroit par défaut (C\: programme file \ ) .
A la fin tu doit avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
2-Renommer le prg HijackThis :
dans "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe", clik droit sur ce dernier et choisis "renommé" : tapes monjack et valide .
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé) et postes le rapport générer pour analyse ...
Supprime ton hijackthis , instalé ainsi il ne sert pas à grand chose (C:\Documents and Settings\Benjamin\Bureau\HiJackThis.exe )
Fait exactement ce qui suit:
télécharges et instales le logiciel HijackThis :
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
Important :
1-Faire un click droit sur le lien ci-dessus et choisir "enregistrer la cible sous ... " et renommer Hijackthis en "thejack" .
Cliker sur thejack.exe pour lancer l'instale . laisses toi guider et instale le à l'endroit par défaut (C\: programme file \ ) .
A la fin tu doit avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
2-Renommer le prg HijackThis :
dans "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe", clik droit sur ce dernier et choisis "renommé" : tapes monjack et valide .
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé) et postes le rapport générer pour analyse ...
Salut
Merci de vos réponse si spontané !
J'ai suivi tes ordres sKe tout marche niquel sauf la derniere phrase :
double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé)
Je doit faire un scan avec le Hijackthis renommer dans programme files ou le raccourci sur le bureau ?
Merci de vos réponse si spontané !
J'ai suivi tes ordres sKe tout marche niquel sauf la derniere phrase :
double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé)
Je doit faire un scan avec le Hijackthis renommer dans programme files ou le raccourci sur le bureau ?
C'est la même chose ... en fait peut importe le nom du raccourci tant que la cible (l'exe dans prg file ) à bien été renommer =) .
Donc double click sur le racourci pour lancer le prg .
J'attend ton nouveau rapport ...
Donc double click sur le racourci pour lancer le prg .
J'attend ton nouveau rapport ...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci beaucoup de votre aide :) :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:55, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - C:\WINDOWS\system32\mlJYrpND.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {37E8DF20-77A7-42A7-8649-79490FFD0F18} - C:\WINDOWS\system32\opnoolli.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5A10290E-89BB-488E-81CF-0344E97CA3D2} - C:\WINDOWS\system32\iiffFuus.dll (file missing)
O2 - BHO: (no name) - {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} - C:\WINDOWS\system32\ddcDvwVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: mlJYrpND - C:\WINDOWS\SYSTEM32\mlJYrpND.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:55, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - C:\WINDOWS\system32\mlJYrpND.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {37E8DF20-77A7-42A7-8649-79490FFD0F18} - C:\WINDOWS\system32\opnoolli.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5A10290E-89BB-488E-81CF-0344E97CA3D2} - C:\WINDOWS\system32\iiffFuus.dll (file missing)
O2 - BHO: (no name) - {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} - C:\WINDOWS\system32\ddcDvwVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: mlJYrpND - C:\WINDOWS\SYSTEM32\mlJYrpND.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
on commence ...
Télécharger Vundofix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Ce déconnecter et fermer toutes les applications qui sont en court le temps de la manipe.
Double-cliquer sur VundoFix.exe afin de le lancer.
Cliquer sur le bouton Scan for Vundo.
Lorsque le scan est complété, cliquer sur le bouton fix Vundo.
Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
Le contenu du rapport est situé dans C:\vundofix.txt : postes ce rapport avec aussi un nouveau rapport monjack pour annalyse .
Télécharger Vundofix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Ce déconnecter et fermer toutes les applications qui sont en court le temps de la manipe.
Double-cliquer sur VundoFix.exe afin de le lancer.
Cliquer sur le bouton Scan for Vundo.
Lorsque le scan est complété, cliquer sur le bouton fix Vundo.
Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
Le contenu du rapport est situé dans C:\vundofix.txt : postes ce rapport avec aussi un nouveau rapport monjack pour annalyse .
Le rapport Vundo n'a rien donné :s :
VundoFix V7.0.3
Scan started at 12:13:22 13/04/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Beginning removal...
Est-il nessecaire que je refasse un rappot monjack.exe quand même ?
VundoFix V7.0.3
Scan started at 12:13:22 13/04/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Beginning removal...
Est-il nessecaire que je refasse un rappot monjack.exe quand même ?
Non pas besion ...
on continu :
Télécharger VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , postes le.
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).
puis ensuite, fait un autre scan monjack et postes le aussi .
on continu :
Télécharger VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , postes le.
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).
puis ensuite, fait un autre scan monjack et postes le aussi .
Voilà le scan virtu :
[04/13/2008, 12:32:24] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Benjamin\Bureau\VirtumundoBeGone.exe" )
[04/13/2008, 12:32:40] - Detected System Information:
[04/13/2008, 12:32:40] - Windows Version: 5.1.2600, Service Pack 2
[04/13/2008, 12:32:40] - Current Username: Benjamin (Admin)
[04/13/2008, 12:32:40] - Windows is in NORMAL mode.
[04/13/2008, 12:32:40] - Searching for Browser Helper Objects:
[04/13/2008, 12:32:40] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:40] - BHO 2: {02715E47-5A8E-495B-8F63-0D30470B8E72} ()
[04/13/2008, 12:32:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:40] - Checking for HKLM\...\Winlogon\Notify\mlJYrpND
[04/13/2008, 12:32:40] - Found: HKLM\...\Winlogon\Notify\mlJYrpND - This is probably Virtumundo.
[04/13/2008, 12:32:40] - Assigning {02715E47-5A8E-495B-8F63-0D30470B8E72} MSEvents Object
[04/13/2008, 12:32:40] - BHO list has been changed! Starting over...
[04/13/2008, 12:32:40] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:40] - BHO 2: {02715E47-5A8E-495B-8F63-0D30470B8E72} (MSEvents Object)
[04/13/2008, 12:32:40] - ALERT: Found MSEvents Object!
[04/13/2008, 12:32:40] - BHO 3: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/13/2008, 12:32:40] - BHO 4: {37E8DF20-77A7-42A7-8649-79490FFD0F18} ()
[04/13/2008, 12:32:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\opnoolli
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\opnoolli, continuing.
[04/13/2008, 12:32:41] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/13/2008, 12:32:41] - BHO 6: {5A10290E-89BB-488E-81CF-0344E97CA3D2} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\iiffFuus
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\iiffFuus, continuing.
[04/13/2008, 12:32:41] - BHO 7: {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\ddcDvwVN
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\ddcDvwVN, continuing.
[04/13/2008, 12:32:41] - BHO 8: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - No filename found. Continuing.
[04/13/2008, 12:32:41] - BHO 9: {8A8E4972-0B1E-45E2-B3DB-193B0FD60766} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\xxywTLEX
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\xxywTLEX, continuing.
[04/13/2008, 12:32:41] - Finished Searching Browser Helper Objects
[04/13/2008, 12:32:41] - *** Detected MSEvents Object
[04/13/2008, 12:32:41] - Trying to remove MSEvents Object...
[04/13/2008, 12:32:42] - Terminating Process: IEXPLORE.EXE
[04/13/2008, 12:32:42] - Terminating Process: RUNDLL32.EXE
[04/13/2008, 12:32:43] - Disabling Automatic Shell Restart
[04/13/2008, 12:32:43] - Terminating Process: EXPLORER.EXE
[04/13/2008, 12:32:44] - Suspending the NT Session Manager System Service
[04/13/2008, 12:32:46] - Terminating Windows NT Logon/Logoff Manager
[04/13/2008, 12:32:48] - Re-enabling Automatic Shell Restart
[04/13/2008, 12:32:49] - File to disable: C:\WINDOWS\system32\mlJYrpND.dll
[04/13/2008, 12:32:49] - Renaming C:\WINDOWS\system32\mlJYrpND.dll -> C:\WINDOWS\system32\mlJYrpND.dll.vir
[04/13/2008, 12:32:49] - File successfully renamed!
[04/13/2008, 12:32:49] - Removing HKLM\...\Browser Helper Objects\{02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Removing HKCR\CLSID\{02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Adding Kill Bit for ActiveX for GUID: {02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Deleting ATLEvents/MSEvents Registry entries
[04/13/2008, 12:32:49] - Removing HKLM\...\Winlogon\Notify\mlJYrpND
[04/13/2008, 12:32:49] - Searching for Browser Helper Objects:
[04/13/2008, 12:32:49] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:49] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/13/2008, 12:32:49] - BHO 3: {37E8DF20-77A7-42A7-8649-79490FFD0F18} ()
[04/13/2008, 12:32:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:49] - Checking for HKLM\...\Winlogon\Notify\opnoolli
[04/13/2008, 12:32:49] - Key not found: HKLM\...\Winlogon\Notify\opnoolli, continuing.
[04/13/2008, 12:32:49] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/13/2008, 12:32:49] - BHO 5: {5A10290E-89BB-488E-81CF-0344E97CA3D2} ()
[04/13/2008, 12:32:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\iiffFuus
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\iiffFuus, continuing.
[04/13/2008, 12:32:50] - BHO 6: {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\ddcDvwVN
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\ddcDvwVN, continuing.
[04/13/2008, 12:32:50] - BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - No filename found. Continuing.
[04/13/2008, 12:32:50] - BHO 8: {BCBAF0B9-116C-4AA8-A015-337EF1852861} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\xxywTLEX
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\xxywTLEX, continuing.
[04/13/2008, 12:32:50] - Finished Searching Browser Helper Objects
[04/13/2008, 12:32:50] - Finishing up...
[04/13/2008, 12:32:50] - A restart is needed.
[04/13/2008, 12:33:12] - Attempting to Restart via STOP error (Blue Screen!)
Et voici le scan monjack.exe demander :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:38:25, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {37E8DF20-77A7-42A7-8649-79490FFD0F18} - C:\WINDOWS\system32\opnoolli.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5A10290E-89BB-488E-81CF-0344E97CA3D2} - C:\WINDOWS\system32\iiffFuus.dll (file missing)
O2 - BHO: (no name) - {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} - C:\WINDOWS\system32\ddcDvwVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8A8E4972-0B1E-45E2-B3DB-193B0FD60766} - (no file)
O2 - BHO: (no name) - {98AF1757-3B08-4A58-9FE2-C46EF2A4B8A6} - C:\WINDOWS\system32\xxywTLEX.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: mlJYrpND - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
[04/13/2008, 12:32:24] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Benjamin\Bureau\VirtumundoBeGone.exe" )
[04/13/2008, 12:32:40] - Detected System Information:
[04/13/2008, 12:32:40] - Windows Version: 5.1.2600, Service Pack 2
[04/13/2008, 12:32:40] - Current Username: Benjamin (Admin)
[04/13/2008, 12:32:40] - Windows is in NORMAL mode.
[04/13/2008, 12:32:40] - Searching for Browser Helper Objects:
[04/13/2008, 12:32:40] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:40] - BHO 2: {02715E47-5A8E-495B-8F63-0D30470B8E72} ()
[04/13/2008, 12:32:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:40] - Checking for HKLM\...\Winlogon\Notify\mlJYrpND
[04/13/2008, 12:32:40] - Found: HKLM\...\Winlogon\Notify\mlJYrpND - This is probably Virtumundo.
[04/13/2008, 12:32:40] - Assigning {02715E47-5A8E-495B-8F63-0D30470B8E72} MSEvents Object
[04/13/2008, 12:32:40] - BHO list has been changed! Starting over...
[04/13/2008, 12:32:40] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:40] - BHO 2: {02715E47-5A8E-495B-8F63-0D30470B8E72} (MSEvents Object)
[04/13/2008, 12:32:40] - ALERT: Found MSEvents Object!
[04/13/2008, 12:32:40] - BHO 3: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/13/2008, 12:32:40] - BHO 4: {37E8DF20-77A7-42A7-8649-79490FFD0F18} ()
[04/13/2008, 12:32:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\opnoolli
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\opnoolli, continuing.
[04/13/2008, 12:32:41] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/13/2008, 12:32:41] - BHO 6: {5A10290E-89BB-488E-81CF-0344E97CA3D2} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\iiffFuus
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\iiffFuus, continuing.
[04/13/2008, 12:32:41] - BHO 7: {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\ddcDvwVN
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\ddcDvwVN, continuing.
[04/13/2008, 12:32:41] - BHO 8: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - No filename found. Continuing.
[04/13/2008, 12:32:41] - BHO 9: {8A8E4972-0B1E-45E2-B3DB-193B0FD60766} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\xxywTLEX
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\xxywTLEX, continuing.
[04/13/2008, 12:32:41] - Finished Searching Browser Helper Objects
[04/13/2008, 12:32:41] - *** Detected MSEvents Object
[04/13/2008, 12:32:41] - Trying to remove MSEvents Object...
[04/13/2008, 12:32:42] - Terminating Process: IEXPLORE.EXE
[04/13/2008, 12:32:42] - Terminating Process: RUNDLL32.EXE
[04/13/2008, 12:32:43] - Disabling Automatic Shell Restart
[04/13/2008, 12:32:43] - Terminating Process: EXPLORER.EXE
[04/13/2008, 12:32:44] - Suspending the NT Session Manager System Service
[04/13/2008, 12:32:46] - Terminating Windows NT Logon/Logoff Manager
[04/13/2008, 12:32:48] - Re-enabling Automatic Shell Restart
[04/13/2008, 12:32:49] - File to disable: C:\WINDOWS\system32\mlJYrpND.dll
[04/13/2008, 12:32:49] - Renaming C:\WINDOWS\system32\mlJYrpND.dll -> C:\WINDOWS\system32\mlJYrpND.dll.vir
[04/13/2008, 12:32:49] - File successfully renamed!
[04/13/2008, 12:32:49] - Removing HKLM\...\Browser Helper Objects\{02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Removing HKCR\CLSID\{02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Adding Kill Bit for ActiveX for GUID: {02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Deleting ATLEvents/MSEvents Registry entries
[04/13/2008, 12:32:49] - Removing HKLM\...\Winlogon\Notify\mlJYrpND
[04/13/2008, 12:32:49] - Searching for Browser Helper Objects:
[04/13/2008, 12:32:49] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:49] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/13/2008, 12:32:49] - BHO 3: {37E8DF20-77A7-42A7-8649-79490FFD0F18} ()
[04/13/2008, 12:32:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:49] - Checking for HKLM\...\Winlogon\Notify\opnoolli
[04/13/2008, 12:32:49] - Key not found: HKLM\...\Winlogon\Notify\opnoolli, continuing.
[04/13/2008, 12:32:49] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/13/2008, 12:32:49] - BHO 5: {5A10290E-89BB-488E-81CF-0344E97CA3D2} ()
[04/13/2008, 12:32:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\iiffFuus
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\iiffFuus, continuing.
[04/13/2008, 12:32:50] - BHO 6: {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\ddcDvwVN
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\ddcDvwVN, continuing.
[04/13/2008, 12:32:50] - BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - No filename found. Continuing.
[04/13/2008, 12:32:50] - BHO 8: {BCBAF0B9-116C-4AA8-A015-337EF1852861} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\xxywTLEX
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\xxywTLEX, continuing.
[04/13/2008, 12:32:50] - Finished Searching Browser Helper Objects
[04/13/2008, 12:32:50] - Finishing up...
[04/13/2008, 12:32:50] - A restart is needed.
[04/13/2008, 12:33:12] - Attempting to Restart via STOP error (Blue Screen!)
Et voici le scan monjack.exe demander :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:38:25, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {37E8DF20-77A7-42A7-8649-79490FFD0F18} - C:\WINDOWS\system32\opnoolli.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5A10290E-89BB-488E-81CF-0344E97CA3D2} - C:\WINDOWS\system32\iiffFuus.dll (file missing)
O2 - BHO: (no name) - {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} - C:\WINDOWS\system32\ddcDvwVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8A8E4972-0B1E-45E2-B3DB-193B0FD60766} - (no file)
O2 - BHO: (no name) - {98AF1757-3B08-4A58-9FE2-C46EF2A4B8A6} - C:\WINDOWS\system32\xxywTLEX.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: mlJYrpND - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
maintenant tu vas faire ce-ci :
Télécharger ComboFix (par sUBs) sur le Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Démarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
Double cliquer combofix.exe.
Appuyer sur la touche Y (Yes) pour démarrer le scan
Le rapport sera crée dans: C:\Combofix.txt
postes le rapport combo fix et un nouveau rapport monjack svp
Puis attends les instructions ...
Télécharger ComboFix (par sUBs) sur le Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Démarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
Double cliquer combofix.exe.
Appuyer sur la touche Y (Yes) pour démarrer le scan
Le rapport sera crée dans: C:\Combofix.txt
postes le rapport combo fix et un nouveau rapport monjack svp
Puis attends les instructions ...
