Je cherche gyoza.bat

hdaia Messages postés 1 Statut Membre -  
 weweje -
Bonjour,je cherche gyoza.bat
Configuration: Windows XP
Firefox 2.0.0.17

27 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Salut,

    Ha oui ????

    Et pour lui dire quoi ?

    Parce qu'il n'est pas très sympa. C'est une crasse....

    Bon,
    Commence par poster un rapport HijackThis stp,
    >Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
    - Lance le programme, puis sélectionne <Do a system scan and save a logfile>
    - Enregistre le rapport sur ton bureau.
    Et envoie, par copier/coller, ton log Hijackthis sur le forum,

    Je suis curieux de voir si tu as :
    O4 - HKLM\..\RunOnce: [gyoza] c:\Gyoza.bat

    A+

    Tuto si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
    1
  2. weweje
     
    Ok, j'ai eu la même entrée en démarrage automatique via le registre.
    Un comportement de virus, quoi.
    Gyoza.bat >
    del c:\KillApp.exe
    del c:\Gyoza.ini

    j'ai aussi gyoza.pif & KillApp.exe ( référencé comme un projecteur director ) qui se lancent depuis HKLM/ run

    KillApp.exe n'est pas référencé par virustotal comme virus ( Résultat: 0/41 (0%) )
    Le fichier gyoza.pif contient cette string: \Program Files\ClicApi17Test\GYOZA.PIF

    Rapport Anubis:
    http://anubis.iseclab.org/?action=result&task_id=143c73ee78fd301b4210519900385b078&format=html
    -------------------------
    - Registry Keys Created:
    HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Macromedia
    HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Macromedia\​Shockwave 8
    HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Macromedia\​Shockwave 8\​uicontrol
    HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Macromedia\​Shockwave 8\​uicontrol\​\​sw3dbaddriverlist1
    HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Macromedia\​Shockwave 8\​uicontrol\​\​sw3dbaddriverlist2
    ----------------------------
    C'est donc bien un élément DIRECTOR ( soft pour créer des cdroms multiplateformes )

    et qu'est-ce que je retrouve dans C:\Program Files\Clic d'Api N°17\?
    les mêmes ( killapp + gyoza.bat + etc )

    Il semble donc que ce soit un " machin " voire un bon gros trash de programmeur installé par clic d'api; peut-être un élément du système anti copie...
    Autant dire beurk Clic D'api ( cdroms pour enfants pour ceux qui n'en ont pas )
    1
  3. salzouille
     
    Je profite de l'offre, j'ai le même problème avec gyoza.bat dès le lancement d'XP. Voici mon rapport HijackThis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:52:07, on 01/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\Ati2evxx.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    E:\WINDOWS\system32\Ati2evxx.exe
    E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    E:\Program Files\Alwil Software\Avast4\ashServ.exe
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\system32\LEXBCES.EXE
    E:\WINDOWS\system32\spoolsv.exe
    E:\WINDOWS\system32\LEXPPS.EXE
    E:\Program Files\Google\Update\GoogleUpdate.exe
    E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    E:\Program Files\Java\jre6\bin\jqs.exe
    E:\Program Files\Common Files\LightScribe\LSSrvc.exe
    E:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    E:\WINDOWS\system32\PnkBstrA.exe
    E:\WINDOWS\system32\PnkBstrB.exe
    E:\Program Files\Dantz\Retrospect\retrorun.exe
    E:\WINDOWS\system32\svchost.exe
    E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    E:\WINDOWS\system32\wscntfy.exe
    E:\WINDOWS\RTHDCPL.EXE
    E:\Program Files\Common Files\Symantec Shared\ccApp.exe
    E:\Program Files\Trust\MI-7500X Wireless Laser Mouse\Mouse32a.exe
    E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    E:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
    E:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
    E:\Program Files\Java\jre6\bin\jusched.exe
    E:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
    E:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
    E:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\webcammax\wcmmon.exe
    E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    E:\program files\valve\steam\steam.exe
    E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    E:\Program Files\Real\RealPlayer\RealPlay.exe
    E:\Program Files\Skype\Phone\Skype.exe
    E:\Program Files\Internet Explorer\IEXPLORE.EXE
    E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    E:\Documents and Settings\Administrator\My Documents\My Received Files\PopitNG3.exe
    E:\Program Files\HomePlayer\HomePlayer.exe
    E:\Program Files\Skype\Plugin Manager\skypePM.exe
    E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    E:\Program Files\Internet Explorer\IEXPLORE.EXE
    E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veosearch.com/
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - E:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {77D7E795-33C5-4323-974D-A2A49AB75517} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [JMB36X IDE Setup] E:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] E:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] E:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] E:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] E:\Program Files\Trust\MI-7500X Wireless Laser Mouse\Mouse32a.exe
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Lexmark X1100 Series] "E:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [MMReminderService] E:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
    O4 - HKLM\..\Run: [MaxtorCombo] "E:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [WebcamMaxMoniter] "C:\webcammax\wcmmon.exe" /a
    O4 - HKLM\..\Run: [Name of App] E:\Program Files\SAMSUNG\FW LiveUpdate\FWManager.exe r
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\RunOnce: [gyozadel] E:\WINDOWS\system32\COMMAND.COM /c del c:\Gyoza.bat
    O4 - HKLM\..\RunOnce: [gyozapif] E:\WINDOWS\system32\COMMAND.COM /c del c:\Gyoza.pif
    O4 - HKLM\..\RunOnce: [gyoza] c:\Gyoza.bat
    O4 - HKCU\..\Run: [Steam] "e:\program files\valve\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [NVIDIA nTune] "E:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: HomePlayer.lnk = E:\Program Files\HomePlayer\HomePlayer.exe
    O4 - Startup: Shortcut to PopitNG3.exe.lnk = E:\Documents and Settings\Administrator\My Documents\My Received Files\PopitNG3.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = E:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - E:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
    O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/e/38.09/f-6tcHDGwoY/uploader2.cab
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://zzz8.mpsa.com/dwa7W.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: E:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: EasyBoxApache - Apache Software Foundation - E:\Program Files\EasyBox\Apache\Apache.exe
    O23 - Service: GoogleDesktopManager - Google - E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Update Service (gupdate1c90aa5869f3a61) (gupdate1c90aa5869f3a61) - Google Inc. - E:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - E:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - E:\Program Files\Dantz\Retrospect\retrorun.exe
    O24 - Desktop Component 0: Privacy Protection - (no file)
    0
  4. Utilisateur anonyme
     
    Salut,
    puisque hdaia n'a pas répondu tu n'as qu'à prendre sa place.

    Oui tu as le même problème.

    Fais ceci stp :
    >Ouvre ce lien http://siri.urz.free.fr/Fix/SmitfraudFix.php et télécharge SmitfraudFix (de S!RI).
    - Regarde le tuto
    - Exécute le programme et choisi l’option 1 (et uniquement).
    NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur"
    Le programme va générer un rapport, copie/colle le sur le forum.

    A+
    0
    1. salzouille
       
      C'est sympa, j'ai fait ce que tu as dit (sur XP) et voici le rapport :
      SmitFraudFix v2.380

      Scan done at 21:51:22,50, 02/12/2008
      Run from E:\Documents and Settings\Administrator\Desktop\SmitfraudFix
      OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
      The filesystem type is NTFS
      Fix run in normal mode

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      E:\WINDOWS\System32\smss.exe
      E:\WINDOWS\system32\winlogon.exe
      E:\WINDOWS\system32\services.exe
      E:\WINDOWS\system32\lsass.exe
      E:\WINDOWS\system32\Ati2evxx.exe
      E:\WINDOWS\system32\svchost.exe
      E:\WINDOWS\System32\svchost.exe
      E:\WINDOWS\system32\Ati2evxx.exe
      E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      E:\WINDOWS\Explorer.EXE
      E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      E:\Program Files\Alwil Software\Avast4\ashServ.exe
      E:\WINDOWS\system32\LEXBCES.EXE
      E:\WINDOWS\system32\spoolsv.exe
      E:\WINDOWS\system32\LEXPPS.EXE
      E:\Program Files\Google\Update\GoogleUpdate.exe
      E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      E:\Program Files\Java\jre6\bin\jqs.exe
      E:\Program Files\Common Files\LightScribe\LSSrvc.exe
      E:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
      E:\WINDOWS\system32\PnkBstrA.exe
      E:\WINDOWS\system32\PnkBstrB.exe
      E:\Program Files\Dantz\Retrospect\retrorun.exe
      E:\WINDOWS\system32\svchost.exe
      E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      E:\WINDOWS\system32\wscntfy.exe
      E:\WINDOWS\RTHDCPL.EXE
      E:\Program Files\Common Files\Symantec Shared\ccApp.exe
      E:\Program Files\Trust\MI-7500X Wireless Laser Mouse\Mouse32a.exe
      E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      E:\Program Files\Java\jre6\bin\jusched.exe
      E:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
      E:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
      E:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\webcammax\wcmmon.exe
      E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      E:\program files\valve\steam\steam.exe
      E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
      E:\Program Files\Outlook Express\msimn.exe
      E:\Program Files\Messenger\msmsgs.exe
      E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      E:\Program Files\HomePlayer\HomePlayer.exe
      E:\Documents and Settings\Administrator\My Documents\My Received Files\PopitNG3.exe
      E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      E:\Program Files\Internet Explorer\iexplore.exe
      E:\Documents and Settings\Administrator\Desktop\SmitfraudFix\Policies.exe
      E:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts

      hosts file corrupted !

      127.0.0.1 www.legal-at-spybot.info
      127.0.0.1 legal-at-spybot.info

      »»»»»»»»»»»»»»»»»»»»»»»» E:\


      »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

      E:\WINDOWS\system32\x.exe FOUND !

      »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Administrator


      »»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Administrator\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


      »»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\ADMINI~1\FAVORI~1


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop


      »»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

      E:\Program Files\Google\googletoolbar1.dll FOUND !

      »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"=""
      "SubscribedURL"=""
      "FriendlyName"="Privacy Protection"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="My Current Home Page"

      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, following keys are not inevitably infected!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, following keys are not inevitably infected!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, following keys are not inevitably infected!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, following keys are not inevitably infected!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"="E:\\PROGRA~1\\Google\\GOOGLE~3\\GOEC62~1.DLL"
      "LoadAppInit_DLLs"=dword:00000001


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="E:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» RK



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller - Packet Scheduler Miniport
      DNS Server Search Order: 212.27.40.241
      DNS Server Search Order: 212.27.40.240

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{8A82819E-B255-47C2-92D1-9D9C016B2AD9}: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{8A82819E-B255-47C2-92D1-9D9C016B2AD9}: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{8A82819E-B255-47C2-92D1-9D9C016B2AD9}: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


      »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


      »»»»»»»»»»»»»»»»»»»»»»»» End
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re,
    pas de souci pour le coup de main.

    Alors,
    > Télécharge Zeb-Restore : https://www.tayo.fr/download/zebrestore
    - Mets le dans un dossier, sur ton bureau par exemple.
    - Lance Zebrestore et coche la/les case(s) suivante(s) :

    Fichier Hosts

    - Ne coche que la/les case(s) indiquée(s).
    - Clique sur le bouton <Restaurer>.
    - Quitte le programme.

    Puis,
    > Démarre en mode sans échec sans passer par MSconfig : (image). Si problème : tuto ici
    - Dans le dossier "SmitfraudFix" ouvre "Smitfraudfix.cmd" puis choisit l'option 2 et tape "oui" pour toutes les questions.
    NB : sous Vista : fais un clic-droit sur le programme et choisis "Exécuter en tant qu'administrateur"
    - Enregistre le rapport puis envoie le dans ton prochain poste.

    Ensuite,
    j'aimerai avoir un rapport plus détaillé stp :
    > Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
    - Enregistre le programme sur ton bureau.
    - Double clique sur RSIT.exe
    - A l'écran "Disclaimer" choisis "3 months" dans le menu déroulant puis clique sur <continue>.
    - Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
    - Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
    NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi.

    Bon courage.

    A+
    0
  7. salzouille
     
    il y a 1 pb qd je lance Zebrestore : Erreur d'execution 75 : Erreur dans le chemin d'acces

    ???
    0
  8. Utilisateur anonyme
     
    Salut,
    à la place de Zebrestore utilise Hoster :

    > Télécharger Hoster : http://www.funkytoad.com/download/HostsXpert.zip
    - Dézippe le dossier sur le bureau.
    - Lance Hoster et cliquer sur <Restore Microsoft's Hosts File>.

    Puis continue ;)
    0
  9. salzouille
     
    Il me dit Erreur : Cannot create file E:\windows\system32\drivers\etc\hosts
    Faut-il que je désactive :
    Avast
    SpyBot
    Comodo firewall
    ?
    0
  10. Utilisateur anonyme
     
    Salut,

    Arfff. Oui : Spybot normalement.

    Mais c'est pas grave. Passe directement à l'option 2 de smitfraudfix.

    Seulement pour le rapport ne poste que le début et la fin. En fait supprime la partie concernant le fichier hosts (ne laisse que les 10 premières lignes stp).

    Puis poste un RSIT stp.

    Merci.
    0
  11. salzouille
     
    Et voilà, mais j'ai toujours le message gyoza.bat au lancement de XP :

    SmitFraudFix v2.380

    Scan done at 20:46:01,29, 04/12/2008
    Run from E:\Documents and Settings\Administrator\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in safe mode

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Killing process

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    (...)

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.
    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

    E:\WINDOWS\system32\x.exe Deleted

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{8A82819E-B255-47C2-92D1-9D9C016B2AD9}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{8A82819E-B255-47C2-92D1-9D9C016B2AD9}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{8A82819E-B255-47C2-92D1-9D9C016B2AD9}: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» End
    0
  12. salzouille
     
    Et voilà la suite, le log.txt d'abord :

    Logfile of random's system information tool 1.04 (written by random/random)
    Run by Administrator at 2008-12-04 23:17:30
    Microsoft Windows XP Professional Service Pack 2
    System drive E: has 71 GB (46%) free of 153 GB
    Total RAM: 2047 MB (64% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:18:05, on 04/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\Ati2evxx.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\Ati2evxx.exe
    E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    E:\WINDOWS\Explorer.EXE
    E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    E:\Program Files\Alwil Software\Avast4\ashServ.exe
    E:\WINDOWS\system32\LEXBCES.EXE
    E:\WINDOWS\system32\spoolsv.exe
    E:\WINDOWS\system32\LEXPPS.EXE
    E:\Program Files\Google\Update\GoogleUpdate.exe
    E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
    E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    E:\Program Files\Java\jre6\bin\jqs.exe
    E:\Program Files\Common Files\LightScribe\LSSrvc.exe
    E:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    E:\WINDOWS\system32\PnkBstrA.exe
    E:\WINDOWS\system32\PnkBstrB.exe
    E:\Program Files\Dantz\Retrospect\retrorun.exe
    E:\WINDOWS\system32\svchost.exe
    E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    E:\WINDOWS\system32\wscntfy.exe
    E:\WINDOWS\RTHDCPL.EXE
    E:\Program Files\Common Files\Symantec Shared\ccApp.exe
    E:\Program Files\Trust\MI-7500X Wireless Laser Mouse\Mouse32a.exe
    E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    E:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
    E:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
    E:\Program Files\Java\jre6\bin\jusched.exe
    E:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
    E:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
    E:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\webcammax\wcmmon.exe
    E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    E:\Program Files\COMODO\COMODO Internet Security\cfp.exe
    E:\program files\valve\steam\steam.exe
    E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    E:\Program Files\Skype\Phone\Skype.exe
    E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    E:\WINDOWS\system32\ctfmon.exe
    E:\Documents and Settings\Administrator\My Documents\My Received Files\PopitNG3.exe
    E:\Program Files\HomePlayer\HomePlayer.exe
    E:\Program Files\Skype\Plugin Manager\skypePM.exe
    E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    E:\Program Files\Outlook Express\msimn.exe
    E:\Program Files\Messenger\msmsgs.exe
    E:\Program Files\HomePlayer\VLC\vlc.exe
    E:\Program Files\Internet Explorer\iexplore.exe
    E:\Documents and Settings\Administrator\Desktop\RSIT.exe
    E:\Program Files\Trend Micro\HijackThis\Administrator.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veosearch.com/
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - E:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {77D7E795-33C5-4323-974D-A2A49AB75517} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll (file missing)
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [JMB36X IDE Setup] E:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] E:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] E:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] E:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] E:\Program Files\Trust\MI-7500X Wireless Laser Mouse\Mouse32a.exe
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Lexmark X1100 Series] "E:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [MMReminderService] E:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
    O4 - HKLM\..\Run: [MaxtorCombo] "E:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [WebcamMaxMoniter] "C:\webcammax\wcmmon.exe" /a
    O4 - HKLM\..\Run: [Name of App] E:\Program Files\SAMSUNG\FW LiveUpdate\FWManager.exe r
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [COMODO Internet Security] "E:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
    O4 - HKLM\..\Run: [Google Desktop Search] "E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\RunOnce: [gyozadel] E:\WINDOWS\system32\COMMAND.COM /c del c:\Gyoza.bat
    O4 - HKLM\..\RunOnce: [gyozapif] E:\WINDOWS\system32\COMMAND.COM /c del c:\Gyoza.pif
    O4 - HKLM\..\RunOnce: [gyoza] c:\Gyoza.bat
    O4 - HKCU\..\Run: [Steam] "e:\program files\valve\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [NVIDIA nTune] "E:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
    O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [NBJ] "E:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [LanceurEasyBox] "E:\Program Files\EasyBox\EasyBox.exe" -AutoStart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: HomePlayer.lnk = E:\Program Files\HomePlayer\HomePlayer.exe
    O4 - Startup: Shortcut to PopitNG3.exe.lnk = E:\Documents and Settings\Administrator\My Documents\My Received Files\PopitNG3.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = E:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - E:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - E:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
    O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
    O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/e/38.09/f-6tcHDGwoY/uploader2.cab
    O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
    O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
    O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://zzz8.mpsa.com/dwa7W.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: E:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL E:\WINDOWS\system32\guard32.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
    O23 - Service: EasyBoxApache - Apache Software Foundation - E:\Program Files\EasyBox\Apache\Apache.exe
    O23 - Service: GoogleDesktopManager - Google - E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Update Service (gupdate1c90aa5869f3a61) (gupdate1c90aa5869f3a61) - Google Inc. - E:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - E:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - E:\Program Files\Dantz\Retrospect\retrorun.exe
    0
  13. Utilisateur anonyme
     
    Coucou,
    Ton rapport n'est pas complet.

    Peux-tu me l'envoyer via www.cijoint.fr ?

    Je collerai les morceaux manquants.

    Merci.

    Après on passe aux suppressions promis :)
    0
  14. salzouille
     
    et voilà :
    http://www.cijoint.fr/cjlink.php?file=cj200812/cijdoCJmYk.txt

    http://www.cijoint.fr/cjlink.php?file=cj200812/cij6MbsQeN.txt
    0
  15. Utilisateur anonyme
     
    Salut salzouille :)

    Je suis de retour.

    Alors,
    > Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
    http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
    - Lance l'installation avec les paramètres par défaut.
    - Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    - Double-clique sur le raccourci UsbFix sur ton Bureau puis choisi l'option de suppression => Le PC va redémarrer.
    - Après redémarrage, poste le rapport UsbFix.txt
    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
    (Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
    - Relance USBFix puis choisis maintenant l'option de vaccination.

    Ensuite,
    > Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
    - Double-clique sur OTMoveIt3.exe pour le lancer.
    - Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ).

    :processes
    explorer.exe
    
    :Reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77D7E795-33C5-4323-974D-A2A49AB75517}]  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
    "Alcmtr"=-
    "QuickTime Task"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
    "gyozadel"=-
    "gyozapif"=-
    "gyoza"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
    "ctfmon.exe"=-
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
    "E:\WINDOWS\System32\x.exe"=-
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{204619a8-9d06-11dd-aed9-001a92043601}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecda0580-018d-11dc-9492-001a92043601}]
    
    :files
    c:\Gyoza.bat
    E:\WINDOWS\System32\x.exe
    E:\WINDOWS\system32\tmp.txt 
    E:\rapport.txt     
    E:\WINDOWS\system32\drivers\a8kx06zi.sys
    
    :commands
    [emptytemp]
    [start explorer]
    [reboot]
    

    - Clique sur < MoveIt! > pour lancer la suppression.
    N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
    Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.

    Ensuite,
    je n'ai pas confiance en ton programme : PopitNG3
    Il existe celui ci qui est très bien : http://www.commentcamarche.net/telecharger/telecharger 34055186 aide memoire

    Alors,
    > Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>)

    E:\Documents and Settings\Administrator\My Documents\My Received Files\PopitNG3.exe

    et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
    N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.

    Refais la même chose (virus total) pour :

    E:\WINDOWS\system32\DRIVERS\NABTSFEC.sys

    Je pense qu'il est sain, mais j'en ai aucune certitude.

    Bon courage.

    A+

    :)
    0
  16. salzouille
     
    et voilà le rapport USBfix :
    http://www.cijoint.fr/cjlink.php?file=cj200812/cijUb3e9ga.txt

    Merci d'être revenu de WE !
    0
  17. salzouille
     
    et voilà le dernier rapport :
    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77D7E795-33C5-4323-974D-A2A49AB75517}\\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Alcmtr deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\gyozadel not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\gyozapif not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\gyoza not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\E:\WINDOWS\System32\x.exe deleted successfully.
    Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F\\ deleted successfully.
    Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I\\ not found.
    Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K\\ deleted successfully.
    Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{204619a8-9d06-11dd-aed9-001a92043601}\\ not found.
    Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecda0580-018d-11dc-9492-001a92043601}\\ not found.
    ========== FILES ==========
    File/Folder c:\Gyoza.bat not found.
    File/Folder E:\WINDOWS\System32\x.exe not found.
    File/Folder E:\WINDOWS\system32\tmp.txt not found.
    E:\rapport.txt moved successfully.
    File/Folder E:\WINDOWS\system32\drivers\a8kx06zi.sys not found.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    File delete failed. E:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
    File delete failed. E:\WINDOWS\temp\Perflib_Perfdata_6a0.dat scheduled to be deleted on reboot.
    File delete failed. E:\WINDOWS\temp\Perflib_Perfdata_72c.dat scheduled to be deleted on reboot.
    File delete failed. E:\WINDOWS\temp\Perflib_Perfdata_f0.dat scheduled to be deleted on reboot.
    Windows Temp folder emptied.
    Java cache emptied.
    FireFox cache emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12082008_200425

    Files moved on Reboot...
    File move failed. E:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
    File move failed. E:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
    File E:\WINDOWS\temp\Perflib_Perfdata_6a0.dat not found!
    File E:\WINDOWS\temp\Perflib_Perfdata_72c.dat not found!
    File E:\WINDOWS\temp\Perflib_Perfdata_f0.dat not found!

    C bon j'en suis débarrassé?!? Je suis complètement schizo maintenant quand COMODO ou SpyBot m'alerte!
    0
  18. salzouille
     
    et voila :
    http://www.virustotal.com/fr/analisis/5a2e272de1965df1ae1eb7c18
    http://www.virustotal.com/fr/analisis/42a91e38997219e004b6d4356ed8625f9f7ec20

    J'attends ton retour.
    0
  19. Utilisateur anonyme
     
    Hello salzouille,

    Hummm tu premier lien ne marche pas :-(

    Peux tu le reposter stp ?

    Ensuite,
    > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    N.B. : Le scan ne marche que sous Internet Explorer.
    - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
    - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
    - On va te demander de télécharger un contrôle active x, accepte .
    - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
    - Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
    S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
    Rappel : le scan est à faire sous Internet Explorer
    Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

    Le PC va mieux ?
    Si c'est bon après je t'envoie la fin.

    A+
    0
  20. salzouille
     
    Voilà le rapport Kapersky...j'ai bien peur que ce ne sois pas réglé!

    http://www.cijoint.fr/cjlink.php?file=cj200812/cijG54fyzs.txt
    0
  • 1
  • 2