Forums Zebulon.fr: thasc.exe et lecteur disquette - Forums Zebulon.fr

Bonjour,
après avoir reçu un mail douteux, j'ai (par grande mégarde)ouvert le contenu de la pièce jointe. Il s'agissait d'un fichier vbs qui a téléchargé le fichier "thasc.exe" du site myohrid. Les symptômes ne se sont pas fait attendre: toutes les dix secondes mon lecteur disquette grince. Par contre, nod32 n'a pas du tout réagi face à l'infection et j'ai déjà effectué un nettoyage avec Ccleaner en mode sans echec. De plus, je ne vois pas grand chose de suspect dans mon log Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:44, on 25/05/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:
C:\WINDOW\System32\smss.exe
C:\WINDOW\system32\winlogon.exe
C:\WINDOW\system32\services.exe
C:\WINDOW\system32\lsass.exe
C:\WINDOW\system32\svchost.exe
C:\WINDOW\System32\svchost.exe
C:\WINDOW\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Steganos Internet Anonym VPN\AVPNStarter.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOW\system32\cisvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOW\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOW\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOW\System32\nvsvc32.exe
C:\WINDOW\System32\svchost.exe
C:\WINDOW\system32\PnkBstrA.exe
C:\WINDOW\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOW\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOW\SOUNDMAN.EXE
C:\WINDOW\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOW\System32\svchost.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOW\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOW\system32\wuauclt.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\25078.EXE
C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\29815.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOW\system32\wuauclt.exe
C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 74.208.105.171 gs.apple.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOW\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOW\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [windows_defender] C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOW\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [windows_defender] C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe
O4 - HKCU\..\Run: [{68B8DD3D-4578-72EB-F2F5-054BA9A88F31}] "C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe"
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOW\System32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOW\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab
O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.bl...re/AxLoader.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail....ol/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ??????P
O20 - Winlogon Notify: pmnmnOfG - C:\WINDOW\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOW\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -r (file missing)
O23 - Service: Steganos Anonym VPN Starter Service (AVPNStarter) - Unknown owner - C:\Program Files\Steganos Internet Anonym VPN\AVPNStarter.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOW\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOW\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe




Merci d'avance pour votre aide.
Cordialement.

Bonjour,

Citation

1) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

2) Télécharge RogueKiller (par Tigzy) sur le bureau
(A partir d'une clé USB si le Rogue empêche l'accès au net) .
RogueKiller
Quitte tous les programmes en cours
Lance RogueKiller.exe.

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.
(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)
Envoie une copie du rapport RKreport[1].txt.
Si les raccourcis ont disparu, relance l'outil en mode 6.
Envoie une copie du rapport RKreport[2].txt.

Autres options:

3. Réinitialiser le Hosts. <<< A utiliser également dans ton cas

4. Supprimer les proxy.

5. Réinitialiser DNS.

6. Réapparition raccourcis.



@++

Après un coup de TFC et une analyse complète de l'antivirus en mode sans échec, je n'ai plus de soucis. Voici cependant les rapports demandés:

RKreport[1]:

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/23)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Josh Five [Droits d'admin]
Mode: Recherche -- Date : 25/05/2011 18:37:48

Processus malicieux: 2
[SUSP PATH] SOUNDMAN.EXE -- c:\window\soundman.exe -> KILLED
[RESIDUE] GoogleUpdate.exe -- c:\documents and settings\josh five.family-computer\local settings\application data\google\update\googleupdate.exe -> KILLED

Entrees de registre: 11
[SUSP PATH] HKCU\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : {68B8DD3D-4578-72EB-F2F5-054BA9A88F31} ("C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe") -> FOUND
[SUSP PATH] HKLM\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-19[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-20[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1844237615-963894560-725345543-1004[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1844237615-963894560-725345543-1004[...]\Run : {68B8DD3D-4578-72EB-F2F5-054BA9A88F31} ("C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe") -> FOUND
[SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004UA.job : c:\documents and settings\josh five.family-computer\local -> FOUND
[SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004Core.job : c:\documents and settings\josh five.family-computer\local -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> FOUND
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
74.208.105.171 gs.apple.com
127.0.0.1 myohrid.com


Termine : << RKreport[1].txt >>
RKreport[1].txt


-------------------------------------------------------------------------------

RKreport[2]:

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/23)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Josh Five [Droits d'admin]
Mode: Suppression -- Date : 25/05/2011 18:38:16

Processus malicieux: 0

Entrees de registre: 9
[SUSP PATH] HKCU\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : {68B8DD3D-4578-72EB-F2F5-054BA9A88F31} ("C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe") -> DELETED
[SUSP PATH] HKLM\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> DELETED
[BLACKLIST DLL] HKUS\S-1-5-19[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> DELETED
[BLACKLIST DLL] HKUS\S-1-5-20[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> DELETED
[SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004UA.job : c:\documents and settings\josh five.family-computer\local -> ERROR
[SUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004Core.job : c:\documents and settings\josh five.family-computer\local -> ERROR
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> NOT REMOVED, USE DNSFIX

Fichier HOSTS:
127.0.0.1 localhost
74.208.105.171 gs.apple.com
127.0.0.1 myohrid.com


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt




Merci pour le coup de main, et la rapidité des réponses

Ne sois pas si pressé, c'est pas fini.

Citation

Relance rogue killer et utilise l'option 3.

---------------------------------
Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :
  

  Citation

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
  
  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++