(RESOLU) Pour grand débutant : peut-etre infecté par magic controle ag

[Duck Psycho Sexy]

Bonjour,

 

Apparement, de ce que j'ai compris sur un autre forum, je serais peut etre infecté par un truc pas cool qui se nomme magic control agent (je ne suis pas sur, je ne sais pas comment vérifié)

 

J'ai fais une restauration systeme mais je ne sais pas si cela a suffit. Voici un rapport hijackthis obtenu suivant cette procédure préliminaire donnée par bruce lee (sauf que je n'ai pas configuré antivir, le tuto cité n'existant plus).

 

Pouvez vous m'aider svp?

 

nb : comme vous l'aurez compris je suis un grand débutant

 

Logfile of HijackThis v1.99.1

Scan saved at 01:29:34, on 02/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\IntelDH\Intel® Quick Resume Technology\ELService.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

c:\windows\system\hpsysdrv.exe

C:\Documents and Settings\HP_Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [DMAScheduler] c:\Program Files\Sonic\DigitalMedia Plus\DigitalMedia Archive\DMAScheduler.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel® Quick Resume Technology\ELService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

Modifié le 4 août 2006 par Duck Psycho Sexy

[Malekal_morte]

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

- Clic en bas sur "I accept"

- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.

- Lance-le en double-cliquant sur le fichier blbeta.exe

- Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

[speed18]

Bonjour

 

je crois que j'ai le même problème , le navigateur firefox m'affiche régulièrement une erreure avec shokwave et il parait que c'est du au magic control.agent .

voila le résultat de hijackthis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 14:49:22, on 03/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pt.lu/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ProtoWall] C:\Program Files\Dudez\protowall\ProtoWall.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

et le résultat de f-secure blacklight:

 

08/03/06 15:01:24 [info]: BlackLight Engine 1.0.42 initialized

08/03/06 15:01:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/03/06 15:01:24 [Note]: 7019 4

08/03/06 15:01:24 [Note]: 7005 0

08/03/06 15:01:31 [Note]: 7006 0

08/03/06 15:01:31 [Note]: 7011 628

08/03/06 15:01:31 [Note]: 7026 0

08/03/06 15:01:31 [Note]: 7026 0

08/03/06 15:01:31 [Note]: 7024 3

08/03/06 15:01:31 [info]: Hidden process: C:\windows\system32\rkhbfj.exe

08/03/06 15:01:31 [Note]: 7015 2648

08/03/06 15:01:31 [Note]: 7015 5

08/03/06 15:01:31 [Note]: 7015 2712

08/03/06 15:01:31 [Note]: 7015 5

08/03/06 15:01:31 [Note]: 7015 2740

08/03/06 15:01:31 [Note]: 7015 5

08/03/06 15:01:31 [Note]: FSRAW library version 1.7.1019

08/03/06 15:02:52 [info]: Hidden file: c:\WINDOWS\system32\rkhbfj.dat

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:02:52 [info]: Hidden file: C:\windows\system32\rkhbfj.exe

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:02:52 [info]: Hidden file: c:\WINDOWS\system32\rkhbfj_nav.dat

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:02:52 [info]: Hidden file: c:\WINDOWS\system32\rkhbfj_navps.dat

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:03:05 [info]: Hidden file: c:\WINDOWS\Prefetch\RKHBFJ.EXE-39E30414.pf

08/03/06 15:03:05 [Note]: 10002 1

 

 

merci pour votre aide.

[Duck Psycho Sexy]

Bonjour Malekal morte!

 

Merci beaucoup pour ton aide!

 

Tiens voici le rapport :

 

08/03/06 18:46:23 [info]: BlackLight Engine 1.0.42 initialized

08/03/06 18:46:23 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/03/06 18:46:23 [Note]: 7019 4

08/03/06 18:46:23 [Note]: 7005 0

08/03/06 18:46:25 [Note]: 7006 0

08/03/06 18:46:25 [Note]: 7011 2888

08/03/06 18:46:25 [Note]: 7026 0

08/03/06 18:46:25 [Note]: 7026 0

08/03/06 18:46:31 [Note]: FSRAW library version 1.7.1019

08/03/06 18:51:33 [Note]: 7007 0

 

?

[regis56]

Bonjour

 

je crois que j'ai le même problème , le navigateur firefox m'affiche régulièrement une erreure avec shokwave et il parait que c'est du au magic control.agent .

voila le résultat de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 14:49:22, on 03/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pt.lu/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ProtoWall] C:\Program Files\Dudez\protowall\ProtoWall.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

et le résultat de f-secure blacklight:

 

08/03/06 15:01:24 [info]: BlackLight Engine 1.0.42 initialized

08/03/06 15:01:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/03/06 15:01:24 [Note]: 7019 4

08/03/06 15:01:24 [Note]: 7005 0

08/03/06 15:01:31 [Note]: 7006 0

08/03/06 15:01:31 [Note]: 7011 628

08/03/06 15:01:31 [Note]: 7026 0

08/03/06 15:01:31 [Note]: 7026 0

08/03/06 15:01:31 [Note]: 7024 3

08/03/06 15:01:31 [info]: Hidden process: C:\windows\system32\rkhbfj.exe

08/03/06 15:01:31 [Note]: 7015 2648

08/03/06 15:01:31 [Note]: 7015 5

08/03/06 15:01:31 [Note]: 7015 2712

08/03/06 15:01:31 [Note]: 7015 5

08/03/06 15:01:31 [Note]: 7015 2740

08/03/06 15:01:31 [Note]: 7015 5

08/03/06 15:01:31 [Note]: FSRAW library version 1.7.1019

08/03/06 15:02:52 [info]: Hidden file: c:\WINDOWS\system32\rkhbfj.dat

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:02:52 [info]: Hidden file: C:\windows\system32\rkhbfj.exe

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:02:52 [info]: Hidden file: c:\WINDOWS\system32\rkhbfj_nav.dat

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:02:52 [info]: Hidden file: c:\WINDOWS\system32\rkhbfj_navps.dat

08/03/06 15:02:52 [Note]: 10002 1

08/03/06 15:03:05 [info]: Hidden file: c:\WINDOWS\Prefetch\RKHBFJ.EXE-39E30414.pf

08/03/06 15:03:05 [Note]: 10002 1

merci pour votre aide.

 

Bonjour speed18 et bienvenue sur le forum zeb-sécu !!

 

Peut tu ouvrir ton propre sujet STP ?

 

Clique sur ce lien => http://forum.zebulon.fr/index.php?act=post...w_post&f=51

 

A plus.

Modifié le 3 août 2006 par regis56

[speed18]

bonjour

désolé, j'ai cru bien faire vue que les sujets ce ressemble. j'ai crée un nouveau sujet a part.

[Malekal_morte]

Duck Psycho Sexy : est-ce spybot qui t'a détecté magic.control ?

 

- Télécharge chercher.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé

- Ouvre le et double-clic sur chercher.cmd

- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Modifié le 3 août 2006 par Malekal_morte

[Duck Psycho Sexy]

Duck Psycho Sexy : est-ce spybot qui t'a détecté magic.control ?

 

Bah en fait non. Le truc c que je cherchais sur le forum geckozone une solution à un problème d"operation illégale du plug in" dans firefox. Dans ce forum, ils se sont rendus compte que le probleme était surement dû à un maleware nommé "magic agent" qui s'incruste lors du téléchargement du logiciel "internet game box" (logiciel que j'avais moi meme télechargé peu de temps avant l'apparition du pbm.)

Comme je suis une buse en informatique je n'ai pas pu vérifié. (j'était un peu perdu dans le vocabulaire utilisé).

Le seul truc que j'ai fait, c une restauration mais je ne sais si cela suffit. Pour l'instant le pbm de plug in n'apparait plus mais apparement, cela ne veut pas dire que la bestiole soit eradiquée. Voila pourqoi je voulais vérifier.

 

Bref, voici ce que tu m'a demandé :

C:\WINDOWS\System32\wpa.dbl -->03/08/2006 18:03:16

C:\WINDOWS\System32\FNTCACHE.DAT -->02/08/2006 01:09:48

C:\WINDOWS\System32\fjrxlwzbd_navps.dat -->01/08/2006 19:41:49

C:\WINDOWS\System32\fjrxlwzbd.dat -->01/08/2006 19:41:37

C:\WINDOWS\System32\perfh00C.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\perfh009.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\perfc00C.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\perfc009.dat -->31/07/2006 14:30:03

C:\WINDOWS\System32\fjrxlwzbd_nav.dat -->29/07/2006 14:19:46

C:\WINDOWS\System32\d3d9caps.dat -->16/07/2006 18:53:01

C:\WINDOWS\System32\PerfStringBackup.INI -->13/07/2006 22:01:55

C:\WINDOWS\System32\MRT.exe -->07/07/2006 03:21:46

C:\WINDOWS\System32\jupdate-1.5.0_06-b05.log -->28/06/2006 16:31:07

C:\WINDOWS\System32\rasmans.dll -->22/06/2006 12:48:06

C:\WINDOWS\System32\FLASH.OCX -->22/06/2006 10:29:56

C:\WINDOWS\System32\CONFIG.NT -->21/06/2006 23:02:23

C:\WINDOWS\System32\LuResult.txt -->21/06/2006 22:55:31

C:\WINDOWS\System32\$winnt$.inf -->21/06/2006 15:59:11

C:\WINDOWS\System32\WgaLogon.dll -->19/06/2006 16:20:42

C:\WINDOWS\System32\LegitCheckControl.dll -->19/06/2006 16:19:42

C:\WINDOWS\System32\WgaTray.exe -->19/06/2006 16:19:26

C:\WINDOWS\System32\sirenacm.dll -->06/06/2006 12:37:54

C:\WINDOWS\System32\jgpl400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\jgdw400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\aswBoot.exe -->31/05/2006 11:02:04

 

C:\WINDOWS\mozver.dat -->03/08/2006 18:14:56

C:\WINDOWS\WININIT.INI -->03/08/2006 18:08:39

C:\WINDOWS\0.log -->03/08/2006 17:28:17

C:\WINDOWS\wiadebug.log -->03/08/2006 17:27:43

C:\WINDOWS\WindowsUpdate.log -->03/08/2006 17:27:41

C:\WINDOWS\wiaservc.log -->03/08/2006 17:27:41

C:\WINDOWS\bootstat.dat -->03/08/2006 17:27:17

C:\WINDOWS\SchedLgU.Txt -->03/08/2006 17:26:01

C:\WINDOWS\setupapi.log -->03/08/2006 17:10:11

C:\WINDOWS\ntbtlog.txt -->03/08/2006 17:05:23

C:\WINDOWS\wmsetup.log -->03/08/2006 15:30:08

C:\WINDOWS\OEWABLog.txt -->03/08/2006 15:30:08

C:\WINDOWS\EventSystem.log -->03/08/2006 15:18:11

C:\WINDOWS\setuperr.log -->02/08/2006 01:13:55

C:\WINDOWS\setupact.log -->02/08/2006 01:13:55

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\WINDOWS\system

 

07/05/1998 18:04 52ÿ736 hpsysdrv.exe

1 fichier(s) 52ÿ736 octets

0 R‚p(s) 146ÿ068ÿ209ÿ664 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\WINDOWS\system32

 

10/08/2004 13:00 6ÿ144 csrss.exe

1 fichier(s) 6ÿ144 octets

0 R‚p(s) 146ÿ068ÿ209ÿ664 octets libres

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\Program Files

 

03/08/2006 17:07 <REP> .

03/08/2006 17:07 <REP> ..

01/01/2005 23:25 <REP> Adobe

21/06/2006 23:02 <REP> Alwil Software

01/01/2005 23:01 <REP> ATI Technologies

03/08/2006 17:07 <REP> CCleaner

12/11/2005 02:09 <REP> ComPlus Applications

01/08/2006 18:24 <REP> eMule

03/08/2006 17:27 <REP> ewido anti-spyware 4.0

03/07/2006 13:00 <REP> Fichiers communs

28/06/2006 11:21 <REP> FreeRIP2

01/01/2005 22:42 <REP> FrenchOtto

01/01/2005 22:42 <REP> GemMasterFrench

01/08/2006 19:57 <REP> Google

23/06/2006 17:39 <REP> Goto Software

01/01/2005 23:53 <REP> Hewlett-Packard

02/08/2006 01:30 <REP> HijackThis

01/01/2005 23:25 <REP> HP

07/07/2006 15:29 <REP> Inkscape

01/01/2005 22:58 <REP> Intel

22/06/2006 12:56 <REP> Internet Explorer

28/06/2006 16:31 <REP> Java

03/07/2006 13:01 <REP> K-Lite Codec Pack

21/06/2006 20:17 <REP> Kit ADSL

01/01/2005 23:03 <REP> MainConcept

25/06/2006 15:43 <REP> Media Player Classic

01/01/2005 22:50 <REP> Messenger

15/11/2005 04:24 <REP> microsoft frontpage

01/01/2005 23:27 <REP> Microsoft Office

01/01/2005 23:27 <REP> Microsoft Works

15/11/2005 04:24 <REP> Movie Maker

03/08/2006 19:18 <REP> Mozilla Firefox

03/08/2006 17:07 <REP> Mozilla Firefox(2)

22/06/2006 04:25 <REP> MSN

15/11/2005 04:25 <REP> MSN Gaming Zone

22/06/2006 04:27 <REP> MSN Messenger

01/01/2005 23:29 <REP> muvee Technologies

28/06/2006 11:18 <REP> MyGlobalSearch

15/11/2005 04:25 <REP> NetMeeting

15/11/2005 04:25 <REP> Online Services

28/06/2006 16:17 <REP> OpenOffice.org 2.0

22/06/2006 12:55 <REP> Outlook Express

01/01/2005 23:36 <REP> PC-Doctor 5 for Windows

01/01/2005 23:22 <REP> Real

22/06/2006 10:23 <REP> Services en ligne

01/01/2005 23:24 <REP> Sonic

01/08/2006 19:46 <REP> Spybot - Search & Destroy

03/08/2006 19:18 <REP> Windows Media Player

15/11/2005 04:25 <REP> Windows NT

01/08/2006 19:46 <REP> Windows Plus

01/08/2006 20:33 <REP> WinRAR

01/08/2006 19:48 <REP> WinZip

23/06/2006 16:26 251 wt3d.ini

15/11/2005 04:26 <REP> xerox

1 fichier(s) 251 octets

53 R‚p(s) 146ÿ068ÿ205ÿ568 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\Program Files\fichiers communs

 

03/07/2006 13:00 <REP> .

03/07/2006 13:00 <REP> ..

01/01/2005 23:26 <REP> Adobe

01/01/2005 23:08 <REP> Hewlett-Packard

01/01/2005 23:14 <REP> HP

01/01/2005 23:29 <REP> InstallShield

01/01/2005 22:46 <REP> Java

01/01/2005 23:24 <REP> LightScribe

22/06/2006 04:27 <REP> Microsoft Shared

15/11/2005 04:24 <REP> MSSoap

01/01/2005 23:29 <REP> muvee Technologies

15/11/2005 04:24 <REP> ODBC

03/07/2006 13:00 <REP> Real

15/11/2005 04:24 <REP> Services

01/01/2005 23:23 <REP> Sonic Shared

15/11/2005 04:24 <REP> SpeechEngines

01/01/2005 23:23 <REP> SureThing Shared

21/06/2006 22:59 <REP> Symantec Shared

22/06/2006 12:55 <REP> System

01/01/2005 23:24 <REP> TiVo Shared

0 fichier(s) 0 octets

20 R‚p(s) 146ÿ068ÿ205ÿ568 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le num‚ro de s‚rie du volume est 3061-57FB

 

R‚pertoire de C:\

 

27/12/2005 09:21 7ÿ477ÿ561 setup_all.exe

10/01/2001 12:23 162ÿ304 UNWISE.EXE

2 fichier(s) 7ÿ639ÿ865 octets

0 R‚p(s) 146ÿ068ÿ205ÿ568 octets libres

c:\Documents and Settings\HP_Administrateur\Application Data\MSNInstaller\msnauins.exe

c:\Documents and Settings\HP_Administrateur\Bureau\antivir_workstation_win7u_en_h.exe

c:\Documents and Settings\HP_Administrateur\Bureau\blbeta.exe

c:\Documents and Settings\HP_Administrateur\Bureau\ccsetup131.exe

c:\Documents and Settings\HP_Administrateur\Bureau\eMule0.47a-Installer.exe

c:\Documents and Settings\HP_Administrateur\Bureau\ewido-setup_4.0.0.172c.exe

c:\Documents and Settings\HP_Administrateur\Bureau\freeripmp3.exe

c:\Documents and Settings\HP_Administrateur\Bureau\GoogleDesktopSetup_CIWBGGDDplugins$2fSoccerScores$2egg$$D.exe

c:\Documents and Settings\HP_Administrateur\Bureau\HijackThis.exe

c:\Documents and Settings\HP_Administrateur\Bureau\Inkscape-0.44-1.win32.exe

c:\Documents and Settings\HP_Administrateur\Bureau\Install_Messenger.exe

c:\Documents and Settings\HP_Administrateur\Bureau\LSPFix.exe

c:\Documents and Settings\HP_Administrateur\Bureau\media-player-classic_media_player_classic_6.4.9.0b_xp_.exe_francais_11019.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OOo_2.0.2_Win32Intel_install_fr(2).exe

c:\Documents and Settings\HP_Administrateur\Bureau\Shockwave_Installer_Slim.exe

c:\Documents and Settings\HP_Administrateur\Bureau\sp26523.exe

c:\Documents and Settings\HP_Administrateur\Bureau\SXFR201DOGT66.EXE

c:\Documents and Settings\HP_Administrateur\Bureau\wrar351fr.exe

c:\Documents and Settings\HP_Administrateur\Bureau\wz90fr.exe

c:\Documents and Settings\HP_Administrateur\Bureau\chercher\LFiles.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\instmsia.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\instmsiw.exe

c:\Documents and Settings\HP_Administrateur\Bureau\OpenOffice.org 2.0 Installation Files\setup.exe

c:\Documents and Settings\HP_Administrateur\Bureau\RegSeeker\RegSeeker.exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temp\nstmp\uninstall.exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temp\nstmp1\uninstall.exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EK021Q3I\Firefox%20Setup%201.5.0.6[1].exe

c:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EK021Q3I\Firefox%20Setup%201.5.0.6[2].exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\all4cmr301.exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\freeripmp3.exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\RealPlayer10-5GOLD_fr.exe

c:\Documents and Settings\HP_Administrateur\Mes documents\Archives\slsk157test8.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

[Malekal_morte]

Je confirme, tu as des fichiers relatifs a Macgic.Control.

 

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :

-- Ouvre le poste de travail

-- Double-clic sur le disque C

-- Menu Fichier en haut puis Nouveau et nouveau dossier

-- Tapez BFU dans le nom du nouveau dossier

 

Décompresser le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

Ensuite :

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

 

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.

 

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

____

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

-- Ouvre le poste de travail

-- Double clic sur le disque C

-- Double clic sur le dossier Windows

-- Double clic sur le dossier system32

-- Fais un clic droit sur le fichier fjrxlwzbd.exe puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier fjrxlwzbd.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier fjrxlwzbd_nav.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier fjrxlwzbd_navps.dat puis dans le menu déroulant clic sur supprimer

 

-- Navigue dans les dossiers et supprime, si existant :

C:\Program Files\MaillSkinner

 

- Ouvre ewido et clic sur l'onglet Scanner en haut

- Démarre ewido et clique "Complete System Scan"

** Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse **

Clique sur " Save Report " puis sur " Save Report As "

Enregistre ce fichier texte sur ton bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

 

 

____

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- du scan Kaspersky

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- Relance un scan sur BlackLight et copie/colle le rapport ici

- ainsi qu'un nouveau log HijackThis

Modifié le 3 août 2006 par Malekal_morte

[Duck Psycho Sexy]

Re,

 

-- Fais un clic droit sur le fichier fjrxlwzbd.exe puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier fjrxlwzbd.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier fjrxlwzbd_nav.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier fjrxlwzbd_navps.dat puis dans le menu déroulant clic sur supprimer

 

Je n'ai pas trouvé ces fichiers

 

-- Navigue dans les dossiers et supprime, si existant :

C:\Program Files\MaillSkinner

 

Celui ci non plus n'était pas la

 

voici le scan "kaspersky" :

 

Friday, August 04, 2006 1:30:23 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 3/08/2006

Kaspersky Anti-Virus database records: 199604

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

K:\

L:\

Scan Statistics

Total number of scanned objects 89640

Number of viruses found 0

Number of infected objects 0 / 0

Number of suspicious objects 0

Duration of the scan process 01:02:45

 

Infected Object Name Virus Name Last Action

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\muvee Technologies\burnerList40.mve Object is locked skipped

C:\Documents and Settings\All Users\Application Data\muvee Technologies\session40.mve Object is locked skipped

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_811685883_1199636480_19944 Object is locked skipped

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\MSDVRMM_811685883_393216_24797 Object is locked skipped

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE1.tmp Object is locked skipped

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\TempSBE\SBE2.tmp Object is locked skipped

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{360A1EEE-3DC2-4233-A980-6366CB61FC52}.TmpSBE Object is locked skipped

C:\Documents and Settings\All Users\Documents\TV enregistrée\TempRec\{849579C0-85B7-48C8-B61D-18BAF6F3118B}.TmpSBE Object is locked skipped

C:\Documents and Settings\All Users\DRM\drmstore.hds Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\ApplicationHistory\cli.exe.c88dbd71.ini.inuse Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\Perflib_Perfdata_668.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\Perflib_Perfdata_f1c.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\ntuser.dat Object is locked skipped

C:\Documents and Settings\HP_Administrateur\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP44\change.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{5DA170F0-3707-400B-AE90-9E51661A1996}.crmlog Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{42F42ADB-E2C3-4989-96F1-332A459C2D5F}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\IntelDH.evt Object is locked skipped

C:\WINDOWS\system32\config\Media Ce.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\Perflib_Perfdata_77c.dat Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP44\change.log Object is locked skipped

K:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

K:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP44\change.log Object is locked skipped

Scan process completed.

 

 

Voici le rapport ewido :

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 23:23:42 03/08/2006

 

+ Scan result:

 

 

 

C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.

 

::Report end

 

 

 

le rapport clean :

 

Script clean par Malekal_morte - http://www.malekal.com

 

*** SUPPRESSION DES FICHIERS

 

 

 

*** Suppressions de trojans/vers sur...

 

 

 

*** Suppressions des adware connus...

 

 

le rapport BL :

 

08/04/06 01:43:47 [info]: BlackLight Engine 1.0.42 initialized

08/04/06 01:43:47 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/04/06 01:43:48 [Note]: 7019 4

08/04/06 01:43:48 [Note]: 7005 0

08/04/06 01:43:52 [Note]: 7006 0

08/04/06 01:43:52 [Note]: 7011 2784

08/04/06 01:43:52 [Note]: 7026 0

08/04/06 01:43:52 [Note]: 7026 0

08/04/06 01:43:58 [Note]: FSRAW library version 1.7.1019

08/04/06 01:45:59 [Note]: 7007 0

 

 

et log Hijackthis :

 

08/04/06 01:43:47 [info]: BlackLight Engine 1.0.42 initialized

08/04/06 01:43:47 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/04/06 01:43:48 [Note]: 7019 4

08/04/06 01:43:48 [Note]: 7005 0

08/04/06 01:43:52 [Note]: 7006 0

08/04/06 01:43:52 [Note]: 7011 2784

08/04/06 01:43:52 [Note]: 7026 0

08/04/06 01:43:52 [Note]: 7026 0

08/04/06 01:43:58 [Note]: FSRAW library version 1.7.1019

08/04/06 01:45:59 [Note]: 7007 0

 

Voila...

Ben je crois que c'est tout...

 

merci encore