Win32 tratHBO au secours svp

Résolu
kesseksa -  
ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,
Je suis infecté depuis hier par virus Win32 tratHBO (détecté par avast) - essayé de l'éradiquer, mais bien sûr impossible - vu sur internet que plusieurs ont même problème ; ai lu certains échanges de solutions sur le sujet, c'est compliqué non ?

Je suis vraiment novice en la matière - (ah, j'ai essayé de télécharger hijack this, au cas où j'en aurais besoin, mais apparemment je ne peux même plus télécharger quoi que ce soit , car quand je télécharge, je clique sur "enregistrer", mais rien ne se passe ... !!)

quelqu'un peut-il m'aider ?

je suis sous :
Windows XP
Firefox 2.0.0.14
Configuration: Windows XP
Firefox 2.0.0.14

33 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par Win32 tratHBO, détectée par Avast sur Windows XP, est décrite avec des symptômes persistants et des difficultés à éradiquer le malware malgré les tentatives initiales. Des solutions proposées incluent le démarrage en mode sans échec pour effectuer des scans avec l’antivirus, Spybot et Ad-Aware, puis l’usage d’outils spécialisés comme OTMoveIt et ATF Cleaner. Pour vérifier l’infection et nettoyer les traces, des scans en ligne et des rapports détaillés sont recommandés, certains répondants évoquant aussi Vundo et Virtumundo et des outils dédiés pour ces variants. En cas d’impact persistant, la nécessité de sauvegarder les données et d’appliquer les étapes par ordre, tout en examinant les rapports et les éventuels redémarrages obligatoires, est soulignée par plusieurs intervenants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir

    as tu fait un scan avec ton antivirus en mode sans échec?
    si tu as le nom essaye de le supprimer manuellement
    sinon qu'as tu comme logiciel de sécurité ou de nettoyage ?

    pareil il faut que tu les utilises en mode sans echec

    commence par ça ensuite
    tient moi au courant
    @+
    0
    1. kesseksa
       
      j'ai fait un scan avec avast,(pas en mode sans échec), il m'a trouvé et mis en quarantaine plusieurs fichier, mais ça continue toujours (il détecte encore win32...)
      je vais essayer un scan en mode sans échec

      j'ai également spybot et ad-aware, qui n'ont pas non plus résolu le problème
      0
  2. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Très bien sert toi dece petit monde en mode sans échec ensuite

    si tu peux

    Télécharge sur le bureau

    ftp://ftp.commentcamarche.com/download/HJTInstall.exe

    = Double-clic dessus pour l'installer
    = Clic Do a system scan and save the log
    =coller le rapport
    si problème voir l'aide
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    @+
    0
    1. kesseksa
       
      ok, merci, je vais essayer (apparemment je ne peux même plus télécharger quoi que ce soit ; sinon je le téléchargerait du pc de mon fils et le mettrait sur le mien avec clé USB )

      et pi on verra ...

      see you soon
      0
  3. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    oui en effet si tu as un autre pc ça va nous aider
    travaille déjà en mode sans échec ensuite on verra
    @+
    0
    1. kesseksa
       
      bon, ça y est , j'ai pu scanner (en mode sans echec) - (par contre qu'est-ce que ça raaaaaaaaaame !!)

      voila le fruit de ce scann :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:00:18, on 01/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16640)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Orange\Systray\SystrayApp.exe
      C:\Program Files\Orange\Launcher\Launcher.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Apps\ActivBoard\MMKeybd.exe
      C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
      C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
      C:\Program Files\Microsoft Hardware\Mouse\point32.exe
      C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
      C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
      C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
      C:\Program Files\Nikon\NkView5\NkvMon.exe
      C:\Program Files\Orange\Deskboard\deskboard.exe
      C:\Program Files\Orange\connectivity\connectivitymanager.exe
      C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
      C:\Documents and Settings\Lagadec\Bureau\HijackThis.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.OLD\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: (no name) - {95DA25FE-EEB6-45B1-95D4-DF7D37E76AC2} - C:\WINDOWS\system32\rqRJApMg.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar6.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
      O2 - BHO: (no name) - {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} - C:\WINDOWS\system32\urqQgfCu.dll
      O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar6.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\LaunchApplication.exe -startup
      O4 - HKLM\..\Run: [auwcvzby] c:\windows\system32\auwcvzby.exe auwcvzby
      O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
      O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
      O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [POINTER] point32.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
      O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
      O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
      O4 - HKUS\S-1-5-21-2025429265-2000478354-725345543-1004\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe" (User '?')
      O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User '?')
      O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
      O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
      O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
      O15 - Trusted Zone: https://www.orange.fr/portail
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
      O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
      O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanParis.exe
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O20 - Winlogon Notify: urqQgfCu - C:\WINDOWS\SYSTEM32\urqQgfCu.dll
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      0
  4. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    ok plusieurs infections

    on commence par ça

    Télécharge sur le bureau : [url=http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe]navilog.exe[/url]

    = installe le
    = Double-Clic navilog1 qui est sur le bureau
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir option 1 ( = taper 1 )
    ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

    le rapport se trouve dans c: fixnavi.txt

    tu postes ce rapport.

    ---------------------
    Télecharge http://www.malekal.com/download/clean.zip sur le bureau
    Dézippe sur le bureau.
    = ouvrir le dossier clean
    = clique sur le symbole roue dentée avec le nom clean
    = choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
    = ensuite colle le rapport que tu trouveras dans C:

    @+

    0
    1. kesseksa
       
      Ok, j'envoie ça sur l'autre pc et je fais les manip'

      @+
      0
    2. kesseksa
       
      bon, voilà le résultat du scan de navilog :

      Search Navipromo version 3.5.5 commencé le 01/05/2008 à 23:54:05,39

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "Lagadec"

      Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 7.0.5730.11
      Système de fichiers : NTFS

      Executé en mode normal

      *** Recherche Programmes installés ***

      MailSkinner

      *** Recherche dossiers dans "C:\WINDOWS" ***

      C:\WINDOWS\msskinner trouvé !

      *** Recherche dossiers dans "C:\Program Files" ***

      C:\Program Files\MailSkinner trouvé !

      *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Lagadec\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\MATHIEU\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


      *** Recherche dossiers dans "C:\Documents and Settings\Lagadec\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\MATHIEU\menudm~1\progra~1" ***


      *** Recherche dossiers dans "C:\DOCUME~1\Nathan\menudm~1\progra~1" ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé


      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\WINDOWS\system32" *

      * Recherche dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *

      * Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

      * Recherche dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *

      * Recherche dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *



      *** Recherche fichiers ***


      C:\WINDOWS\Downloaded Program Files\dhtmlaccess.inf trouvé !
      C:\WINDOWS\pack.epk trouvé !
      C:\WINDOWS\system32\nvs2.inf trouvé !

      *** Recherche clés spécifiques dans le Registre ***

      HKEY_CURRENT_USER\Software\Lanconfig trouvé !

      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\WINDOWS\system32" :

      auwcvzby.dat trouvé !
      auwcvzby_nav.dat trouvé !
      auwcvzby_navps.dat trouvé !
      hyglwoe.dat trouvé !
      hyglwoe_nav.dat trouvé !
      hyglwoe_navps.dat trouvé !

      * Dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" :


      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


      * Dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" :


      * Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" :


      3)Recherche Certificats :

      Certificat Egroup trouvé !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche fichiers connus :

      C:\WINDOWS\system32\gMpAJRqr.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


      *** Analyse terminée le 02/05/2008 à 0:28:26,79 ***


      J'ai ensuite tenté de décomprésser clean.zip, j'ai eu la liste, cliqué sur clean, mais il me met "il manque des fichiers"
      j'ai dans le fichier clean.zip :

      tar.exe
      remove.reg
      pskill.exe
      LFiles.exe
      gzip.exe
      delsiri.cmd
      delr.cmd
      del3.cmd
      del2.cmd
      clean.cmd
      cherche.cmd


      correct ?

      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    ok
    @+
    0
    1. kesseksa
       
      bon, j'ai réussi à scanner avec clean.
      il me renvoie sur une page (IE) pour envoyer le fichier créé (upload_moi_SNCH75000508.tar.gz) (fichier zippé), je l'ai sélectionné, mais malgré plusieurs tentatives, il n'a pas été transmis.
      j'ai tenté d'ouvrir le fichier en question (upload_moi_SNCH75000508.tar.gz) il me présente :

      MRT.exe
      ldkymjhk.dll
      fidaphiy.dll
      dyujevuk.dll
      aswBoot.exe

      keske je dois faire ?

      merci
      @+
      0
  7. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    pour clean tu regarde dans C/ tu dois trouver un dossier texte nommé rapport clean

    ensuite pour navilog tu le relance et tu choisit l'option 2
    et poste le rapport

    ainsi que celui de clean
    @+
    0
    1. kesseksa
       
      bonjour, ça y est me revoilou

      alors, j'ai trouvé le rapport clean ; ci-dessous copie

      02/05/2008 a 0:47:32,10

      *** Recherche des fichiers dans C:

      *** Recherche des fichiers dans C:\WINDOWS\
      C:\WINDOWS\pp.exe FOUND

      *** Recherche des fichiers dans C:\WINDOWS\system32
      C:\WINDOWS\Temp\setup.exe FOUND

      *** Recherche des fichiers dans C:\Program Files
      "C:\Program Files\Adverts\" FOUND
      "C:\Program Files\mailskinner\" FOUND


      je relance navilog et poste le rapport
      Merci

      @+
      0
  8. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    poste le rapport de navilog ensuite

    lance clean.zip en mode sans echec
    pend cette fois-ci l'option 2 et poste le rapport.

    = Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

    Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
    @+
    0
    1. kesseksa
       
      voilà le rapport navilog :

      Clean Navipromo version 3.5.5 commencé le 02/05/2008 à 18:44:50,70

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "Lagadec"

      Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 7.0.5730.11
      Système de fichiers : NTFS

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS



      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans "C:\WINDOWS\System32" *


      * Suppression dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *



      *** Suppression dossiers dans "C:\WINDOWS" ***

      C:\WINDOWS\msskinner ...suppression...
      C:\WINDOWS\msskinner supprimé !


      *** Suppression dossiers dans "C:\Program Files" ***

      C:\Program Files\Mailskinner ...suppression...
      C:\Program Files\Mailskinner supprimé !


      *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Suppression dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Lagadec\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Lagadec\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\Nathan\menudm~1\progra~1" ***



      *** Suppression fichiers ***

      C:\WINDOWS\Downloaded Program Files\dhtmlaccess.inf supprimé !
      C:\WINDOWS\pack.epk supprimé !
      C:\WINDOWS\system32\nvs2.inf supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\Lagadec\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans "C:\WINDOWS\system32" *

      auwcvzby.dat trouvé !
      Copie auwcvzby.dat réalisée avec succès !
      auwcvzby.dat supprimé !

      hyglwoe.dat trouvé !
      Copie hyglwoe.dat réalisée avec succès !
      hyglwoe.dat supprimé !

      auwcvzby_nav.dat trouvé !
      Copie auwcvzby_nav.dat réalisée avec succès !
      auwcvzby_nav.dat supprimé !

      hyglwoe_nav.dat trouvé !
      Copie hyglwoe_nav.dat réalisée avec succès !
      hyglwoe_nav.dat supprimé !

      auwcvzby_navps.dat trouvé !
      Copie auwcvzby_navps.dat réalisée avec succès !
      auwcvzby_navps.dat supprimé !

      hyglwoe_navps.dat trouvé !
      Copie hyglwoe_navps.dat réalisée avec succès !
      hyglwoe_navps.dat supprimé !


      * Dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      * Dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


      * Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *


      *** Sauvegarde du Registre vers dossier Safebackup ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltdt absent !

      *** Nettoyage terminé le 02/05/2008 à 18:59:00,48 ***

      je lance clean.zip (option 2) en mode sans echec
      @+
      0
  9. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    très bien maintenant celui de clean
    @+
    0
    1. kesseksa
       
      bon, ça y est j'ai réussi : 1- à me mettre en mode sans échec - 2- a lancer le scan (j'avoue que j'ai eu quelques soucis avec le mode "sans échec", une fois ça plantait, une fois ça bloquait .... enfin bref, voili voili voilou le résultat :

      par contre, j'ai 2 fichiers clean sous C: (en date du 02/05/2008), à quelques minutes d'intervalle
      je ne sais lequel sera nécessaire, aussi j'envoie les deux en copie par ordre d'heure



      FICHIER SOUS C: 18H59 :

      Clean Navipromo version 3.5.5 commencé le 02/05/2008 à 18:44:50,70

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "Lagadec"

      Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 7.0.5730.11
      Système de fichiers : NTFS

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS



      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans "C:\WINDOWS\System32" *


      * Suppression dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *



      *** Suppression dossiers dans "C:\WINDOWS" ***

      C:\WINDOWS\msskinner ...suppression...
      C:\WINDOWS\msskinner supprimé !


      *** Suppression dossiers dans "C:\Program Files" ***

      C:\Program Files\Mailskinner ...suppression...
      C:\Program Files\Mailskinner supprimé !


      *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Suppression dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Lagadec\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\Lagadec\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\MATHIEU\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\Nathan\menudm~1\progra~1" ***



      *** Suppression fichiers ***

      C:\WINDOWS\Downloaded Program Files\dhtmlaccess.inf supprimé !
      C:\WINDOWS\pack.epk supprimé !
      C:\WINDOWS\system32\nvs2.inf supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\Lagadec\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans "C:\WINDOWS\system32" *

      auwcvzby.dat trouvé !
      Copie auwcvzby.dat réalisée avec succès !
      auwcvzby.dat supprimé !

      hyglwoe.dat trouvé !
      Copie hyglwoe.dat réalisée avec succès !
      hyglwoe.dat supprimé !

      auwcvzby_nav.dat trouvé !
      Copie auwcvzby_nav.dat réalisée avec succès !
      auwcvzby_nav.dat supprimé !

      hyglwoe_nav.dat trouvé !
      Copie hyglwoe_nav.dat réalisée avec succès !
      hyglwoe_nav.dat supprimé !

      auwcvzby_navps.dat trouvé !
      Copie auwcvzby_navps.dat réalisée avec succès !
      auwcvzby_navps.dat supprimé !

      hyglwoe_navps.dat trouvé !
      Copie hyglwoe_navps.dat réalisée avec succès !
      hyglwoe_navps.dat supprimé !


      * Dans "C:\Documents and Settings\Lagadec\locals~1\applic~1" *


      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      * Dans "C:\DOCUME~1\MATHIEU\locals~1\applic~1" *


      * Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *


      *** Sauvegarde du Registre vers dossier Safebackup ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltdt absent !

      *** Nettoyage terminé le 02/05/2008 à 18:59:00,48 ***





      LE DEUXIEME , fichier sous C: 19H49

      Script execute en mode sans echec
      Rapport clean par Malekal_morte - http://www.malekal.com
      Script execute en mode sans echec 02/05/2008 a 19:48:51,71

      Microsoft Windows XP [version 5.1.2600]

      *** Suppression des fichiers dans C:

      *** Suppression des fichiers dans C:\WINDOWS\
      tentative de suppression de C:\WINDOWS\pp.exe

      *** Suppression des fichiers dans C:\WINDOWS\system32

      *** Suppression des fichiers dans C:\Program Files
      tentative de suppression de "C:\Program Files\Adverts\"

      *** Suppression des clefs du registre effectuee..


      (alors docteur, qu'est-ce qu'il se passe ?)


      @+
      0
  10. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    bon très bien un bon coup de balai :-)
    pour la suite

    Télécharge malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    => Installe le
    => Ensuite va en mode sans echec

    Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel

    => Lance malwarebytes
    => Coche "Executer un examen complet"
    => Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
    => Clique sur Supprimer la sélection
    => Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
    => Fait copier coller et poste le rapport

    --------------------------

    ensuite

    * Télécharge CCleaner
    https://filehippo.com/download_ccleaner/
    => Aide toi de ce tuto pour l'utiliser
    https://www.malekal.com/tutoriel-ccleaner/

    --------------------------

    Ensuite refais un nouveau hijack
    @+
    0
    1. kesseksa
       
      bonjour,
      bon voilà le rapport malwarebytes
      et à suivre le rapport hijack que j'ai fait à suivre (en mode sans échec) comme convenu :

      Malwarebytes' Anti-Malware 1.11
      Version de la base de données: 599

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 250251
      Temps écoulé: 3 hour(s), 52 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 11
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 7

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\WINDOWS\system32\rqRJApMg.dll (Trojan.Vundo) -> No action taken.

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f1c9b175-56d1-4d10-a878-2472854ff42d} (Trojan.Vundo) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{f1c9b175-56d1-4d10-a878-2472854ff42d} (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapmg -> No action taken.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\rqrjapmg -> No action taken.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\dyujevuk.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\kuvejuyd.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\rqRJApMg.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\gMpAJRqr.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\gMpAJRqr.ini2 (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\pac.txt (Malware.Trace) -> No action taken.
      C:\Documents and Settings\MATHIEU\Local Settings\Temp\cd1B.tmp (Heuristics.Malware) -> No action taken.


      et donc, rapport hijack :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:44:30, on 03/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16640)
      Boot mode: Safe mode

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\Documents and Settings\Lagadec\Bureau\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
      O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar6.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\LaunchApplication.exe -startup
      O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
      O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
      O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [POINTER] point32.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
      O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
      O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
      O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
      O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
      O15 - Trusted Zone: https://www.orange.fr/portail
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
      O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
      O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanParis.exe
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
      O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
      0
  11. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonjour

    je ne t'ai pas demandé un hijack en mode sans échec !!
    mais pas grave :-)

    pour suivre

    Télécharge sur le Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    => Double-clic VundoFix.exe.
    => Clic OK
    => Attendre le redemarrage de Vundofix
    => Clic Scan for Vundo
    => Le scan est assez long , à la fin
    => Clic Remove Vundo
    => Puis yes
    => Le Bureau disparaît un moment lors de la suppression des fichiers.
    => Message shutdown
    => clic OK
    => Redémarrage auto
    => copier le rapport qui est dans C:vundofix.txt

    ensuite
    Télécharge VirtumundoBeGone sur ton bureau .
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    => double-clic sur VirtumundoBeGone.exe
    => Suis les instructions à l'écran
    => Quand le scan est terminé, enregistre le rapport.
    => Copie/Colle le ici

    ensuite

    Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!
    => déconnecte toi d'internet et ferme toutes tes applications.
    => désactive tes protections (antivirus, parefeu,antispyware)
    => Double-clic sur combofix,
    => Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
    => Attends que combofix ait terminé, un rapport sera créé.
    => réactive ton parefeu, ton antivirus, la garde de ton antispyware
    => copie/colle le rapport C:\ComboFix.txt

    @+
    0
    1. kesseksa
       
      bon, j'ai fait les manip'
      j'ai terminé par combofix
      il s'est mis en route, à scanné, puis il a redémarré tout seul le système, mais ça fait plus d'un quart d'heure qu'il est sur le démarrage de windows xp (écran noir avec le logo de windows xp avec la barre défilante bleue)

      c'est normal ça ??? ça m'inquiète

      (je t'envoie ce message d'un autre pc)

      rassures moi, c'est normal ????
      0
  12. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Normal je ne pense pas, il aurait du redémarrer tout seul, tu l'éteint et tu le rallume
    poste les rappports
    0
    1. kesseksa
       
      bon, j'ai redémarré,

      RAPPORT VUNDOFIX :

      VundoFix V7.0.3

      Scan started at 14:06:06 03/05/2008

      Listing files found while scanning....

      No infected files were found.


      Beginning removal...


      RAPPORT VIRTUMOND :


      [05/03/2008, 14:45:03] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Lagadec\Bureau\VirtumundoBeGone.exe" )
      [05/03/2008, 14:46:11] - Detected System Information:
      [05/03/2008, 14:46:11] - Windows Version: 5.1.2600, Service Pack 2
      [05/03/2008, 14:46:12] - Current Username: Lagadec (Admin)
      [05/03/2008, 14:46:12] - Windows is in NORMAL mode.
      [05/03/2008, 14:46:12] - Searching for Browser Helper Objects:
      [05/03/2008, 14:46:12] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
      [05/03/2008, 14:46:12] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
      [05/03/2008, 14:46:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [05/03/2008, 14:46:12] - Checking for HKLM\...\Winlogon\Notify\SDHelper
      [05/03/2008, 14:46:12] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
      [05/03/2008, 14:46:12] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [05/03/2008, 14:46:12] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
      [05/03/2008, 14:46:12] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
      [05/03/2008, 14:46:12] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
      [05/03/2008, 14:46:12] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
      [05/03/2008, 14:46:12] - BHO 8: {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} ()
      [05/03/2008, 14:46:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [05/03/2008, 14:46:12] - Checking for HKLM\...\Winlogon\Notify\urqQgfCu
      [05/03/2008, 14:46:12] - Found: HKLM\...\Winlogon\Notify\urqQgfCu - This is probably Virtumundo.
      [05/03/2008, 14:46:12] - Assigning {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} MSEvents Object
      [05/03/2008, 14:46:12] - BHO list has been changed! Starting over...
      [05/03/2008, 14:46:12] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
      [05/03/2008, 14:46:12] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
      [05/03/2008, 14:46:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [05/03/2008, 14:46:12] - Checking for HKLM\...\Winlogon\Notify\SDHelper
      [05/03/2008, 14:46:13] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
      [05/03/2008, 14:46:13] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [05/03/2008, 14:46:13] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
      [05/03/2008, 14:46:13] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
      [05/03/2008, 14:46:13] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
      [05/03/2008, 14:46:13] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
      [05/03/2008, 14:46:13] - BHO 8: {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F} (MSEvents Object)
      [05/03/2008, 14:46:13] - ALERT: Found MSEvents Object!
      [05/03/2008, 14:46:13] - BHO 9: {F9616FBC-6716-4F10-B6AB-9FA4E780DDA0} ()
      [05/03/2008, 14:46:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [05/03/2008, 14:46:13] - Checking for HKLM\...\Winlogon\Notify\rqRJApMg
      [05/03/2008, 14:46:13] - Key not found: HKLM\...\Winlogon\Notify\rqRJApMg, continuing.
      [05/03/2008, 14:46:13] - Finished Searching Browser Helper Objects
      [05/03/2008, 14:46:13] - *** Detected MSEvents Object
      [05/03/2008, 14:46:13] - Trying to remove MSEvents Object...
      [05/03/2008, 14:46:14] - Terminating Process: IEXPLORE.EXE
      [05/03/2008, 14:46:15] - Terminating Process: RUNDLL32.EXE
      [05/03/2008, 14:46:15] - Disabling Automatic Shell Restart
      [05/03/2008, 14:46:15] - Terminating Process: EXPLORER.EXE
      [05/03/2008, 14:46:16] - Suspending the NT Session Manager System Service
      [05/03/2008, 14:46:16] - Terminating Windows NT Logon/Logoff Manager
      [05/03/2008, 14:46:18] - Re-enabling Automatic Shell Restart
      [05/03/2008, 14:46:18] - File to disable: C:\WINDOWS\system32\urqQgfCu.dll
      [05/03/2008, 14:46:18] - Renaming C:\WINDOWS\system32\urqQgfCu.dll -> C:\WINDOWS\system32\urqQgfCu.dll.vir
      [05/03/2008, 14:46:26] - File successfully renamed!
      [05/03/2008, 14:46:26] - Removing HKLM\...\Browser Helper Objects\{D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}
      [05/03/2008, 14:46:26] - Removing HKCR\CLSID\{D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}
      [05/03/2008, 14:46:26] - Adding Kill Bit for ActiveX for GUID: {D2376FB3-3D0D-414D-83AA-3AD6AD6B111F}
      [05/03/2008, 14:46:26] - Deleting ATLEvents/MSEvents Registry entries
      [05/03/2008, 14:46:26] - Removing HKLM\...\Winlogon\Notify\urqQgfCu
      [05/03/2008, 14:46:27] - Searching for Browser Helper Objects:
      [05/03/2008, 14:46:27] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
      [05/03/2008, 14:46:27] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
      [05/03/2008, 14:46:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [05/03/2008, 14:46:27] - Checking for HKLM\...\Winlogon\Notify\SDHelper
      [05/03/2008, 14:46:27] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
      [05/03/2008, 14:46:27] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [05/03/2008, 14:46:27] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
      [05/03/2008, 14:46:27] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
      [05/03/2008, 14:46:27] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
      [05/03/2008, 14:46:27] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
      [05/03/2008, 14:46:27] - BHO 8: {F9616FBC-6716-4F10-B6AB-9FA4E780DDA0} ()
      [05/03/2008, 14:46:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [05/03/2008, 14:46:28] - Checking for HKLM\...\Winlogon\Notify\rqRJApMg
      [05/03/2008, 14:46:28] - Key not found: HKLM\...\Winlogon\Notify\rqRJApMg, continuing.
      [05/03/2008, 14:46:28] - Finished Searching Browser Helper Objects
      [05/03/2008, 14:46:28] - Finishing up...
      [05/03/2008, 14:46:28] - A restart is needed.
      [05/03/2008, 14:46:52] - Attempting to Restart via STOP error (Blue Screen!)

      apparemment je n'ai pas de rapport de COMBOFIX
      0
  13. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    regarde dans combofix qui se trouve dans C:
    @+
    0
    1. kesseksa
       
      ok, j'ai trouvé ça :


      ComboFix 08-05-01.3 - Lagadec 2008-05-03 15:03:10.1 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.441 [GMT 2:00]
      Endroit: C:\Documents and Settings\Lagadec\Bureau\ComboFix.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .



      c'est tout
      0
  14. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    oui c'est bien le début du rapport mails il n'est pas du tout complet

    et tu la passé trois fois ComboFix 08-05-01.3

    Dommage car je ne pourris pas voir ce qui à était supprimé
    re-vérfie si tu n'as pas un scan complet
    @+
    0
    1. kesseksa
       
      je ne comprends pas "tu l'as passé 3 fois combofix " ? je ne l'ai lancé qu'une fois

      sinon j'ai trouvé un autre fichier .txt dans dossier combofix ("pend.txt" )je te colle le contenu :

      .:\\(0!|0\\0)
      C:\\WINDOWS\\system32\\(\\|0!|0\\0)
      C:\\WINDOWS\\system32\\config\\(\\|0!|0\\0)
      C:\\WINDOWS\\system32\\csrss.exe\\(0!|0\\0)
      C:\\WINDOWS\\system32\\drivers\\(\\|0!|0\\0)
      C:\\WINDOWS\\system32\\hal.dll\\(0!|0\\0)
      C:\\WINDOWS\\system32\\lsass.exe\\(0!|0\\0)
      C:\\WINDOWS\\system32\\ntdll.dll\\(0!|0\\0)
      C:\\WINDOWS\\system32\\services.exe\\(0!|0\\0)
      C:\\WINDOWS\\system32\\smss.exe\\(0!|0\\0)
      C:\\WINDOWS\\system32\\svchost.exe\\(0!|0\\0)
      C:\\WINDOWS\\system32\\userinit.exe\\(0!|0\\0)
      C:\\WINDOWS\\system32\\wbem\\(\\|0!|0\\0)
      C:\\WINDOWS\\system32\\winlogon.exe\\(0!|0\\0)
      C:\\boot.ini\\(0!|0\\0)
      C:\\ntdetect.com\\(0!|0\\0)
      C:\\ntldr\\(0!|0\\0)
      C:\\WINDOWS\\(\\|0!|0\\0)
      C:\\WINDOWS\\explorer.exe\\(0!|0\\0)


      est-ce que ça t'aide ?
      sinon, il y a un sous dossier("test") dans le dossier combofix, mais il est vide
      0
  15. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    le rapport de combofix doit ressembler à ça
    http://www.commentcamarche.net/forum/affich 6087029 virus trojan#25

    et autant pour moi le san et bien passé qu'une fois 2008-05-03 15:03:10.1 :-))

    si tu ne trouve pas

    Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:

    (choisis enregistrer, puis Bureau comme emplacement)

    http://deckard.geekstogo.com/dss.exe

    Ferme toutes les applications en cours.

    Double-clic sur comboscan.exe pour lancer l'outil.

    Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.

    A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.

    Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse.
    Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.

    @+
    0
    1. kesseksa
       
      bonjour,
      mon, ça a scanné
      j'ai eu deux rapports (main.txt et extra.txt)

      (par contre à la fin du scan, il ne m'a pas demandé "ok", il a juste ouvert les deux fenêtres des rapports)

      ci-dessous :

      Deckard's System Scanner v20071014.68
      Run by Lagadec on 2008-05-04 12:51:04
      Computer is in Normal Mode.
      --------------------------------------------------------------------------------

      -- System Restore --------------------------------------------------------------

      Successfully created a Deckard's System Scanner Restore Point.


      -- Last 3 Restore Point(s) --
      3: 2008-05-04 10:51:30 UTC - RP3 - Deckard's System Scanner Restore Point
      2: 2008-05-03 13:01:18 UTC - RP2 - ComboFix created restore point
      1: 2008-05-01 20:49:42 UTC - RP1 - Point de vérification système


      Backed up registry hives.
      Performed disk cleanup.



      -- HijackThis (run as Lagadec.exe) ---------------------------------------------

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:53, on 2008-05-04
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16640)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Apps\ActivBoard\nhksrv.exe
      C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Orange\Systray\SystrayApp.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Apps\ActivBoard\MMKeybd.exe
      C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
      C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
      C:\Program Files\Microsoft Hardware\Mouse\point32.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
      C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
      C:\Apps\ActivBoard\TrayMon.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
      C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
      C:\Apps\ActivBoard\OSD.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
      C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe
      C:\Program Files\Nikon\NkView5\NkvMon.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
      C:\Documents and Settings\Lagadec\Bureau\dss.exe
      C:\DOCUME~1\Lagadec\Bureau\Lagadec.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {5EB7F18E-C8D0-435D-899C-08EB048293F7} - C:\WINDOWS\system32\rqRJApMg.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar6.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
      O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar6.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\LaunchApplication.exe -startup
      O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
      O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
      O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [POINTER] point32.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      O4 - HKCU\..\Run: [AnumanLive] C:\Documents and Settings\Lagadec\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
      O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Documents and Settings\Morgane\Mes documents\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
      O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
      O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView5\NkvMon.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
      O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
      O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
      O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/FanParis.exe
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
      O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
      O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
      0
    2. kesseksa
       
      oups, j'ai été voir dans C: et ouvert dossier deckart, il y a un autre fichier .txt (moved.txt), je te le joins, je ne sais pas si ça te sert :


      Directories/Files moved to C:\Deckard\System Scanner\backup

      2008-05-03 15:03:16 72 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt
      2001-04-11 22:29:18 340866 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\IEC95.tmp
      2001-04-11 22:29:18 340866 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\IEC96.tmp
      2001-04-11 12:29:16 340866 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\IECB.tmp
      2008-05-03 13:53:10 147456 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\j003f03y.exe <Not Verified; Atribune.org; VundoFix>
      2008-05-04 12:48:46 1573 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\jusched.log
      2008-05-03 11:56:42 2752583 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\l60go5xh.exe <Not Verified; Piriform Ltd; CCleaner>
      2008-05-03 20:37:06 25600 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\mqfxqp4i.doc
      2008-05-03 12:01:19 2897456 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\nduqdhj9.exe <Verified; Piriform Ltd; CCleaner>
      2002-05-08 18:50:18 45056 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\nss31.tmp <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
      2005-10-13 05:38:10 53248 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\nss32.tmp <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>
      2008-05-03 12:11:23 2897456 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\plyfaffp.exe <Verified; Piriform Ltd; CCleaner>
      2008-05-02 23:39:31 1496 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\wmplog00.sqm
      2008-05-02 23:53:49 1484 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\wmplog01.sqm
      2008-05-02 23:59:59 1360 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\wmplog02.sqm
      2008-05-04 12:43:33 0 d-------- C:\DOCUME~1\Lagadec\LOCALS~1\Temp\WPDNSE
      2008-05-03 12:51:07 0 d-------- C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_avast4_
      2007-01-20 04:46:42 455600 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_is19.exe <Verified; Macrovision Corporation; InstallShield>
      2007-01-20 05:46:42 455600 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_isC.exe <Verified; Macrovision Corporation; InstallShield>
      2007-01-20 05:46:42 455600 -ra------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\_isD.exe <Verified; Macrovision Corporation; InstallShield>
      2008-05-03 05:11:24 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF138D.tmp
      2008-05-02 20:02:55 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1682.tmp
      2008-05-02 20:02:32 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1712.tmp
      2008-05-03 11:51:54 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1C44.tmp
      2008-05-03 05:10:59 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF1C7C.tmp
      2008-05-02 19:00:39 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF2FD7.tmp
      2008-05-03 18:08:17 49152 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF3606.tmp
      2008-05-02 19:01:11 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF3CAC.tmp
      2008-05-02 19:32:39 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF513E.tmp
      2008-05-03 11:54:28 49152 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF6F44.tmp
      2008-05-03 12:52:24 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF8251.tmp
      2008-05-02 19:42:34 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF83CA.tmp
      2008-05-02 21:00:02 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF8DC7.tmp
      2008-05-03 14:46:22 49152 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFC267.tmp
      2008-05-03 11:51:26 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFCDF9.tmp
      2008-05-02 19:33:04 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFD167.tmp
      2008-05-03 15:57:59 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFD3BD.tmp
      2008-05-03 12:52:58 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFDC9B.tmp
      2008-05-02 21:33:08 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFED0.tmp
      2008-05-03 15:58:30 16384 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFEFD4.tmp
      2008-05-02 21:32:45 131072 --a------ C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFF147.tmp
      2000-10-06 02:01:04 339565 -ra------ C:\WINDOWS\temp\IEC2D0.tmp
      2000-10-06 02:01:04 339565 -ra----c- C:\WINDOWS\temp\IEC3.tmp
      2008-05-03 12:47:07 16384 --a-----t C:\WINDOWS\temp\Perflib_Perfdata_574.dat
      2008-05-04 11:24:04 16384 --a-----t C:\WINDOWS\temp\Perflib_Perfdata_578.dat
      2008-05-03 11:48:39 16384 --a-----t C:\WINDOWS\temp\Perflib_Perfdata_588.dat
      2008-05-04 11:35:12 255 --a------ C:\WINDOWS\temp\WGAErrLog.txt
      2008-05-04 11:35:20 409 --a------ C:\WINDOWS\temp\WGANotify.settings
      2003-05-29 16:00:20 160864 --a------ C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll <Verified; Microsoft Corporation; MSN® Games by Zone.com>
      2004-04-06 20:03:54 172072 --a------ C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll <Not Verified; Microsoft Corporation; MSN® Games by Zone.com>
      2003-05-29 15:00:22 84064 --a------ C:\WINDOWS\Downloaded Program Files\minesweeper.dll <Verified; Microsoft Corporation; MSN® Games by Zone.com>
      2003-05-29 16:00:18 77408 --a------ C:\WINDOWS\Downloaded Program Files\msgrchkr.dll <Verified; Microsoft Corporation; MSN® Games by Zone.com>
      2002-11-07 11:43:20 653312 --a------ C:\WINDOWS\Downloaded Program Files\npchatg.dll <Not Verified; TimSoft (www.timsoft.com); nPaXChat>
      2002-08-29 14:06:02 298712 --a------ C:\WINDOWS\Downloaded Program Files\npwwg.dll <Verified; Winwise; InstantTouch>
      2004-11-05 16:58:20 119496 --a------ C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx <Verified; Microsoft Corporation; MsnMessengerSetupDownloader>
      2004-11-17 23:44:52 114728 --a------ C:\WINDOWS\Downloaded Program Files\ZIntro.ocx <Not Verified; Microsoft Corporation; MSN® Games by Zone.com>

      -*- End of Logfile -*-
      0
  16. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    re

    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    clic double sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    C:\WINDOWS\system32\ldkymjhk.dll
    C:\WINDOWS\system32\dyujevuk.dll
    C:\WINDOWS\system32\fidaphiy.dll
    C:\WINDOWS\system32\gMpAJRqr.ini2
    C:\WINDOWS\system32\rqRJApMg.dll
    C:\WINDOWS\system32\pnVes05
    EmptyTemp


    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

    ensuite

    Télécharge ATF Cleaner par Atribune.
    http://www.atribune.org/ccount/click.php?id=1

    Double-clique ATF-Cleaner.exe afin de lancer le programme.
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected

    Si tu utilises le navigateur Firefox :

    Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

    Si tu utilises le navigateur Opera :

    Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

    Clique Exit, du menu prinicipal, afin de fermer le programme.
    Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

    ensuite fait un scan en ligne

    avec bitdefender et colle le rapport

    https://www.bitdefender.com/toolbox/

    Scan à faire sous Internet Explorer

    un tuto
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    @+
    0
    1. kesseksa
       
      bon, alors j'ai fait le scan avec OTmoveIt,
      pour info :
      à la fin, j'ai eu plein de fenêtre qui se sont ouvertes :
      avast à détecté win32, (j'ai cliqué sur "ne rien faire" puisque qu'il ne veut pas le mettre en quarantaine), puis spybot a ouvert une fenêtre avec le message suivant "spybot à décelé qu'un élément important du registre à été modifié - catégorie : system startup blogal entry - modif: valeur ajoutée - élément : OTscanlt - Nouvelle valeur : C:\documents and setting\lagadec\bureau\OTmoveIt2.exe
      J'ai accepté la modif (j'ai bien fait ???)

      puis un autre message sur une fenêtre "acces violation at adress .. puis avant que j'ai eu le temps de tout lire, le système à redémarré.

      bon ensuite j'ai lancé ATF cleaner
      message à la fin de la manip "main" : done cleaning!! ATF cleaner has freed 2.000.184 MBs
      message à la fin de la manip "firefox" : done cleaning!!! ATF cleaner has freed 216.000 KBs

      bon, ci-dessous rapport de OTmoveIt :

      LoadLibrary failed for C:\WINDOWS\system32\ldkymjhk.dll
      C:\WINDOWS\system32\ldkymjhk.dll NOT unregistered.
      C:\WINDOWS\system32\ldkymjhk.dll moved successfully.
      LoadLibrary failed for C:\WINDOWS\system32\dyujevuk.dll
      C:\WINDOWS\system32\dyujevuk.dll NOT unregistered.
      C:\WINDOWS\system32\dyujevuk.dll moved successfully.
      LoadLibrary failed for C:\WINDOWS\system32\fidaphiy.dll
      C:\WINDOWS\system32\fidaphiy.dll NOT unregistered.
      File move failed. C:\WINDOWS\system32\fidaphiy.dll scheduled to be moved on reboot.
      C:\WINDOWS\system32\gMpAJRqr.ini2 moved successfully.
      LoadLibrary failed for C:\WINDOWS\system32\rqRJApMg.dll
      C:\WINDOWS\system32\rqRJApMg.dll NOT unregistered.
      File move failed. C:\WINDOWS\system32\rqRJApMg.dll scheduled to be moved on reboot.
      C:\WINDOWS\system32\pnVes05 moved successfully.
      < EmptyTemp >
      File delete failed. C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF875D.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFE94F.tmp scheduled to be deleted on reboot.
      File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_57c.dat scheduled to be deleted on reboot.
      File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
      Temp folders emptied.
      IE temp folders emptied.

      OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05042008_203056

      Files moved on Reboot...
      File C:\WINDOWS\system32\fidaphiy.dll not found!
      LoadLibrary failed for C:\WINDOWS\system32\rqRJApMg.dll
      C:\WINDOWS\system32\rqRJApMg.dll NOT unregistered.
      File move failed. C:\WINDOWS\system32\rqRJApMg.dll scheduled to be moved on reboot.
      C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DF875D.tmp moved successfully.
      C:\DOCUME~1\Lagadec\LOCALS~1\Temp\~DFE94F.tmp moved successfully.
      File C:\WINDOWS\temp\Perflib_Perfdata_57c.dat not found!
      File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.



      Maintenant je vais faire le scan (sous I.E.) avec bitdefender
      a+
      (c'est vraiment une cochonnerie ce trojan ... en tout cas merci pour ton aide et ta patience)
      0
  17. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    ok

    ensuite aprés le scan tu feras

    Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
    - Enregistre le sur ton bureau

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de : rqRJApMg.dll
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.
    0
    1. kesseksa
       
      bon voici le rapport BDOSCAN


      [General]
      App = "BitDefender Online Scanner v8"
      Date = 05:05:2008
      Time = 00:42:02
      Scan Path = A:\;C:\;D:\;R:\;

      [Engines Info]
      Virus Definitions = 1189394
      Engine build = "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
      Scan plugins = 16
      Archive plugins = 42
      Unpack plugins = 7
      E-mail plugins = 6
      System plugins = 5

      [Scan Statistics]
      Folders = 13140
      Files = 406336
      Archives = 8833
      Packed files = 11563
      Identified viruses = 8
      Infected files = 12
      Warnings = 0
      Suspect files = 0
      Disinfected files = 0
      Deleted files = 12
      Copied files = 0
      Moved files = 0
      Renamed files = 0
      I/O Errors = 33298

      [Scan Settings]
      SecondAction = Delete
      FirstAction = Disinfect
      Heuristics = 1
      Enable Warnings = 1
      Exclude Ext =
      Extensions = *;
      Scan Emails = 1
      Scan Archives = 1
      Scan Packed = 1
      Scan Files = 1
      Scan Boot = 1
      Verify Memory = 0

      [Scan Results]
      Line00000032 = "C:\Deckard\System Scanner\backup\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt Infected with: EICAR-Test-File (not a virus)"
      Line00000031 = "C:\Deckard\System Scanner\backup\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt Disinfection failed"
      Line00000030 = "C:\Deckard\System Scanner\backup\DOCUME~1\Lagadec\LOCALS~1\Temp\Av-test.txt Deleted"
      Line00000029 = "C:\Documents and Settings\MATHIEU\Bureau\Everest Poker.exe Detected with: Adware.Generic.17222"
      Line00000028 = "C:\Documents and Settings\MATHIEU\Bureau\Everest Poker.exe Deleted"
      Line00000027 = "C:\Program Files\Alwil Software\Avast4\DATA\moved\S_00305_jpg.zip.vir=>www.S_00305_jpg-msn.com Infected with: Backdoor.IrcBot.ABFF"
      Line00000026 = "C:\Program Files\Alwil Software\Avast4\DATA\moved\S_00305_jpg.zip.vir=>www.S_00305_jpg-msn.com Deleted"
      Line00000025 = "C:\Program Files\Alwil Software\Avast4\DATA\moved\S_00305_jpg.zip.vir Update failed"
      Line00000024 = "C:\QooBox\Quarantine\C\WINDOWS\system32\pac.txt.vir Infected with: Trojan.Downloader.VB.VPG"
      Line00000023 = "C:\QooBox\Quarantine\C\WINDOWS\system32\pac.txt.vir Deleted"
      Line00000022 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP1\A0000474.dll Infected with: Trojan.Vundo.EIO"
      Line00000021 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP1\A0000474.dll Deleted"
      Line00000020 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP2\A0001500.dll Infected with: Trojan.Vundo.EIR"
      Line00000019 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP2\A0001500.dll Disinfection failed"
      Line00000018 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP2\A0001500.dll Deleted"
      Line00000017 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP3\A0003559.exe Detected with: Adware.Generic.17222"
      Line00000016 = "C:\System Volume Information\_restore{C563218A-304B-4932-87D0-324947F95954}\RP3\A0003559.exe Deleted"
      Line00000015 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/ldkymjhk.dll Infected with: Trojan.Vundo.EIY"
      Line00000014 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/ldkymjhk.dll Deleted"
      Line00000013 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar Updated"
      Line00000012 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/dyujevuk.dll Infected with: Trojan.Vundo.EIV"
      Line00000011 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/dyujevuk.dll Deleted"
      Line00000010 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar Updated"
      Line00000009 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/bktsstlv.dll Infected with: Trojan.Vundo.EIR"
      Line00000008 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar=>WINDOWS/System32/bktsstlv.dll Deleted"
      Line00000007 = "C:\upload_moi_SNCH75000508.tar.gz=>upload_moi.tar Updated"
      Line00000006 = "C:\upload_moi_SNCH75000508.tar.gz Updated"
      Line00000005 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\dyujevuk.dll Infected with: Trojan.Vundo.EIV"
      Line00000004 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\dyujevuk.dll Disinfection failed"
      Line00000003 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\dyujevuk.dll Deleted"
      Line00000002 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\ldkymjhk.dll Infected with: Trojan.Vundo.EIY"
      Line00000001 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\ldkymjhk.dll Disinfection failed"
      Line00000000 = "C:\_OTMoveIt\MovedFiles\05042008_203056\WINDOWS\system32\ldkymjhk.dll Deleted"



      et le rapport OAD :

      2008-05-05 ---- 0:55:41.25

      ----------------------------------
      §§§§§§ [rqRJApMg.dll] §§§§§§
      ----------------------------------
      [X] Registre

      -------------- [ ] rapide
      -- Fichier --- [ ] disque systeme
      ------------- [X] complete


      ********************
      [Registre]
      ********************


      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{69630436-9B36-4C78-BE02-12CA38F95480}\InprocServer32]
      @="C:\\WINDOWS\\system32\\rqRJApMg.dll"

      *******************
      [Fichier]
      *******************

      c:\WINDOWS\system32\rqRJApMg.dll


      *********************
      [Même date]
      *********************

      [2008-04-26 ] --- REP ---> C:\Program Files\LimeWire
      [2008-04-26 ] ---> C:\WINDOWS\system32\clkcnt.txt
      [2008-04-26 ] ---> C:\WINDOWS\system32\gMpAJRqr.ini
      [2008-04-26 ] ---> C:\WINDOWS\system32\rqRJApMg.dll



      Outil Aide Diagnostic By !aur3n7 Version 1.1
      ----------------------------------
      §§§§§ Fin Rapport §§§§§
      ----------------------------------
      0
  18. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonjour

    ton spybot va réagir car on modifier ton registre
    pour ça désactive le tea timer
    ouvre spybot

    Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{69630436-9B36-4C78-BE02-12CA38F95480}\InprocSe­rver32]
    @=-


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    ensuite tu recherches ces fichiers
    C:\WINDOWS\system32\gMpAJRqr.in<== supprime ce qui est en gras
    C:\WINDOWS\system32\rqRJApMg.dll<== supprime ce qui est en gras

    si tu ne les trouve pas ouvre te fichiers cachés

    outils ==> options des dossiers ==> affichage ==> coche "afficher les fichiers et dossiers cachés"

    ensuite après la manip tu recoche "ne pas afficher les dossiers et fichiers cachés"

    si tu n'arrive pas à les supprimer fait le en mode sans échec

    @+
    0
    1. kesseksa
       
      bonjour,

      Bon, là, je ne suis pas sûr d'avoir tout compris (pour spybot)

      "désactive le teatimer" : il s'agit de la protection résident ? (je décoche "protection résident" ???)

      ensuite "ouvre le bloc note" : j'ai en effet trouvé un bloc note ("afficher le log") , mais il y a déjà des choses dedans :

      2008-05-03 19:11:27 Autorisé(e) (based on authenticode whitelist) value "SpybotSnD" (new data: ""C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") ajouté(e) in System Startup global entry!
      2008-05-04 12:47:52 Autorisé(e) (based on user decision) value "SpybotSnD" (new data: "") supprimé(e) in System Startup global entry!
      2008-05-04 20:33:34 Autorisé(e) (based on user decision) value "OTScanIt" (new data: "C:\Documents and Settings\Lagadec\Bureau\OTMoveIt2.exe") ajouté(e) in System Startup global entry!
      2008-05-04 20:50:44 Autorisé(e) (based on user decision) value "OTScanIt" (new data: "") supprimé(e) in System Startup global entry!
      2008-05-05 00:44:21 Refusé(e) (based on user decision) value "First Home Page" (new data: "") supprimé(e) in Browser page!
      2008-05-05 00:44:34 Refusé(e) (based on user decision) value "{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}" (new data: "") ajouté(e) in ActiveX Distribution Unit!

      la phrase dont tu parles "REGEDIT4 [ ... " je la colle à la place du texte ci-dessus ou à la suite ???, je tiens compte du retour à la ligne après REGEDIT 4 ??? (et de l'espace entre REGEDIT4 et [HKEY ....)

      merci m'indiquer la manip' stp, sinon je risque de faire des bêtise non ?
      0
  19. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    oui ;-)))

    en effet tu décoche le résident tea timer

    pour le bloc note c'est que tu ouvrir un fichier texte !!
    si tu vas dans démarrer ==> tous les programmes ==> accessoire ==> tu dois trouver la bloc note

    pour REGEDIT 4 tu fait un copier coller de ce que je t'ai mis

    @+
    0
    1. kesseksa
       
      bon, les manip bloc note, REGEDIT, déconnection, fix.reg ... .... ok

      PAR CONTRE :

      je ne trouve pas gMpAJRqr.in (ni init.) sous system32

      et

      rqRJApMg.dll, je le trouve mais quand je fais "supprimer", avast se lance et me demande "mise en quarantaine" ... j'ai essayé mais bien sûr il me met toujours "impossible, cette ressource est utilisée par une autre personne ou un autre programme"

      à, au fait, la case "afficher les fichiers et dossiers cachés" était déjà cochée ( ?!)

      y a un pb non ?

      (avant de me reconnecté et envoyer ce post, j'ai relancé la protection résident, et décoché "afficher dossiers cachés"

      what do we do now ???
      0
  20. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    (avant de me reconnecté et envoyer ce post, j'ai relancé la protection résident, et décoché "afficher dossiers cachés"
    très bien
    what do we do now ???

    et nous allons essayer de virer ce rqRJApMg.dll,

    je te conseil de changer ton antivirus

    je te laisse lire ceci
    https://forum.malekal.com/viewtopic.php?f=45&t=3528&start=0&st=0&sk=t&sd=a

    pour télécharger antivir
    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    ensuite tu vas en mode sans échec et tu fait un scan
    sauvegarde le rapport et poste le
    @+
    0
    1. kesseksa
       
      ouai, j'ai lu, intéressant,
      bon j'ai désinstallé avast et téléchargé antivit (v7 ?) via site que tu m'as indiqué (et le lien qu'il proposait)
      bref, tout se passe bien, mise à jour et tout ...
      sauf que :

      1- j'ai des fenêtre spybot (encore ??) qui me mettent :

      "modification importante du registre"
      catégorie : system startup global entry modifiée
      élément : BM87cb8322
      ancienne valeur : Rundll32.exe "C.\WINDOWS\System32\Kayfyjco.dll",s
      nouvelle valeur : Rundll32.exe "C\WINDOWS\System32\wbivagqi.dll",s

      me demande "autoriser modif", ne sachant pas quoi faire j'ai laissé la fenêtre allumée puis redémarrer en mode sans échec pour faire le scan.

      en mode sans échec je n'ai pas l'icone antivir dans la barre d'outil en bas à droite (je l'avais en mode normal) je n'est que l'icone antivir.exe sur le bureau et là, pas de possibilité choisir C: pour scanner,
      du coup je suis retourné en mode normal pour voir

      arrivé sur mon bureau l'icone microsoft (bouclier jaune) se met en rouge et m'informe que version antivir est sans doute perimée ... (?), et j'ai un message d'antivir m'indiquant que ma mise à jour date de + de 3 jours (?) je clique sur antivir et vais voir dans ? pour voir la version : il m'indique que ma version expire dans "26 days" - me demande si je veux faire un update ... je dis oui ... il le fait ..
      puis tout d'un coup j'ai des fenêtre antivir qui s'affiche m'informant qu'il trouve des virus (trojan vundo, ...) j'ai cliqué sur mettre en quarantaine.

      deplus, je n'ai plus l'icone antivir dans la barre d'outil en bas à droite

      qu'est-ce qui se passe ? qu'est-ce que je fais (je suis toujours en mode normal), il continue à me demander de mettre en quarantaine des trucs qu'il trouve (la fenêtre spybot est toujours en place)

      qu'est ce qui se passe ? que fais-je ??
      0
  21. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    ok tu vas désactivé tea timer de spybot

    personnellement je ne l'ai pas, trop de problème avec

    ensuite va en mode sans echec et fait le scan avec antivir en passant par démarrer ==> tout les programes
    et tu va voir "antivir personnal edition classic" tu te met dessus et tu clic sur antivir avec le parapluie
    ensuite tu lance le scan
    @+
    0
    1. kesseksa
       
      ok
      c'est vrai que spybot commence à me les briser menues.

      je viens de remarquer qu'en fait, que c'est les deux valeurs que spybot m'indique, qui sont systématiquement détecté par antivir (kayfyjco.dll et wbivagqi.dll) .... je m'en doutais

      bon, je désactive le résident et me met en mode sans échec pour la manip' du scan

      a+
      0
  • 1
  • 2