Mon rapport Hi jack

[jo59]

Je dois enlever quoi ???

Merci

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 13:41:25, on 06/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Microsoft Money\System\mnyexpr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ipconfig.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {5AD993A0-9D60-7000-48BB-6CEDF85F09B0} - ERTYDF.dll (file missing)

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\\NVCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [zxc] teqq32.exe

O4 - HKLM\..\Run: [RtlFindVal] clamav.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [dmctt.exe] C:\WINDOWS\system32\dmctt.exe

O4 - HKLM\..\Run: [etyca.exe] C:\WINDOWS\system32\etyca.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"

O4 - HKCU\..\Run: [dePloy] lpt.exe

O4 - HKCU\..\Run: [shaitan1678] iehelper.exe

O4 - HKCU\..\Run: [defect08] TRPT.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCE0B69-9890-4B92-8B67-81B1904A6105}: NameServer = 85.255.113.115,85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{4D04058C-05B6-41D7-9DF9-09346BDCA393}: NameServer = 85.255.113.115,85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEE88A7C-4954-4046-8844-E839F3901F91}: NameServer = 85.255.113.115,85.255.112.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0792.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0792.00.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Malekal_morte]

Bonjour :/

[jo59]

Bonjour :/

 

 

 

Salut as tu une idée des s^y/spams à enlever ???

[Malekal_morte]

Oui ton ordinateur est infecté.

 

Télécharge le FixWareout d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

 

___

 

- Télécharge chercher.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé

- Ouvre le et double-clic sur chercher.cmd

- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

[jo59]

Fixwareout ver 1.003

Last edited 07/1/2006

Post this report in the forums please

 

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DE821D879FA0-035B-ED14-D628-11F94A08{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9A5270EA7749-BE29-EA24-213A-577699AF{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BB0F4A76C577-4C3A-D4E4-39AE-BA73C6BA{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}62214323EF24-7109-C844-FBB6-DBDE43B2{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4A713BBBC4D9-D0A8-2744-DD5A-5701344B{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5873E4D874B8-9B1A-1144-792D-63F827A4{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}57513FDC8EA5-F1AB-8F14-F4F2-D9E6870B{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\fohmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif

...

 

Microsoft ® Windows Script Host Version 5.6

Random Runs removed from HKLM

"dmhof.exe"=-

...

 

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is legitimate

 

»»»»» Search by size and names...

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\XFIND.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\XFIND.COM

 

»»»»» Misc files

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\XFIND.COM

 

»»»»» Checking for older varients covered by the Rem3 tool

 

»»»»»

Search five digit cs, dm and jb files

This WILL/CAN also list Legit Files, Submit them at Virustotal

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Impossible d'ex‚cuter C:\FIXWAREOUT\FINDT\LOCATE.COM

Other suspects

Directory of C:\WINDOWS\system32

{4A728F36-D297-4411-A1B9-8B478D4E3785}.exe

{B4431075-A5DD-4472-8A0D-9D4CBBB317A4}.exe

{FA996775-A312-42AE-92EB-9477AE0725A9}.exe

 

 

 

Voila j'ai executé ton logiciel, verdict selon toi ???

[Malekal_morte]

Il manque le rapport chercher.

[jo59]

C:\WINDOWS\System32\wpa.dbl -->05/08/2006 20:40:27

C:\WINDOWS\System32\scmt16.exe -->30/07/2006 01:24:21

C:\WINDOWS\System32\zllictbl.dat -->26/07/2006 07:28:33

C:\WINDOWS\System32\jupdate-1.5.0_07-b03.log -->23/07/2006 19:06:05

C:\WINDOWS\System32\vsconfig.xml -->19/07/2006 12:00:07

C:\WINDOWS\System32\{4A728F36-D297-4411-A1B9-8B478D4E3785}.exe -->17/07/2006 09:24:31

C:\WINDOWS\System32\{B4431075-A5DD-4472-8A0D-9D4CBBB317A4}.exe -->17/07/2006 09:24:30

C:\WINDOWS\System32\{FA996775-A312-42AE-92EB-9477AE0725A9}.exe -->17/07/2006 09:24:25

C:\WINDOWS\System32\csqqs.exe -->17/07/2006 09:24:21

C:\WINDOWS\System32\FNTCACHE.DAT -->10/07/2006 14:41:58

C:\WINDOWS\System32\h323log.txt -->09/07/2006 20:44:18

C:\WINDOWS\System32\PerfStringBackup.INI -->09/07/2006 19:00:08

C:\WINDOWS\System32\perfh00C.dat -->09/07/2006 19:00:08

C:\WINDOWS\System32\perfh009.dat -->09/07/2006 19:00:08

C:\WINDOWS\System32\perfc00C.dat -->09/07/2006 19:00:08

C:\WINDOWS\System32\perfc009.dat -->09/07/2006 19:00:08

C:\WINDOWS\System32\$winnt$.inf -->09/07/2006 18:48:07

C:\WINDOWS\System32\CONFIG.NT -->09/07/2006 18:47:37

C:\WINDOWS\System32\WindowsLogon.manifest -->09/07/2006 18:46:59

C:\WINDOWS\System32\logonui.exe.manifest -->09/07/2006 18:46:59

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->09/07/2006 18:46:53

C:\WINDOWS\System32\sapi.cpl.manifest -->09/07/2006 18:46:53

C:\WINDOWS\System32\nwc.cpl.manifest -->09/07/2006 18:46:53

C:\WINDOWS\System32\ncpa.cpl.manifest -->09/07/2006 18:46:53

C:\WINDOWS\System32\cdplayer.exe.manifest -->09/07/2006 18:46:53

 

C:\WINDOWS\wiaservc.log -->06/08/2006 21:36:51

C:\WINDOWS\wiadebug.log -->06/08/2006 21:36:49

C:\WINDOWS\0.log -->06/08/2006 21:35:48

C:\WINDOWS\WindowsUpdate.log -->06/08/2006 21:35:47

C:\WINDOWS\bootstat.dat -->06/08/2006 21:35:42

C:\WINDOWS\SchedLgU.Txt -->06/08/2006 20:53:30

C:\WINDOWS\QTFont.qfn -->06/08/2006 17:25:30

C:\WINDOWS\QTFont.for -->06/08/2006 12:52:06

C:\WINDOWS\mozver.dat -->02/08/2006 22:40:19

C:\WINDOWS\setupapi.log -->30/07/2006 01:57:16

C:\WINDOWS\WGA.log -->23/07/2006 19:15:03

C:\WINDOWS\tsoc.log -->23/07/2006 19:14:53

C:\WINDOWS\ntdtcsetup.log -->23/07/2006 19:14:53

C:\WINDOWS\comsetup.log -->23/07/2006 19:14:53

C:\WINDOWS\ocgen.log -->23/07/2006 19:14:52

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C03A-B975

 

Répertoire de C:\WINDOWS\system32

 

17/07/2006 09:24 51 219 csqqs.exe

04/08/2004 00:54 6 144 csrss.exe

2 fichier(s) 57 363 octets

0 Rép(s) 76 376 780 800 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C03A-B975

 

Répertoire de C:\WINDOWS\system32

 

02/04/2003 15:40 1 323 008 dmcpl.exe

28/08/2004 02:18 62 032 dmhof.exe

28/08/2004 02:18 62 032 dmnwq.exe

3 fichier(s) 1 447 072 octets

0 Rép(s) 76 376 780 800 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C03A-B975

 

Répertoire de C:\WINDOWS\system32

 

17/07/2006 09:24 424 718 {4A728F36-D297-4411-A1B9-8B478D4E3785}.exe

17/07/2006 09:24 5 214 {B4431075-A5DD-4472-8A0D-9D4CBBB317A4}.exe

17/07/2006 09:24 3 117 {FA996775-A312-42AE-92EB-9477AE0725A9}.exe

3 fichier(s) 433 049 octets

0 Rép(s) 76 376 780 800 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C03A-B975

 

Répertoire de C:\Program Files

 

06/08/2006 13:41 <REP> .

06/08/2006 13:41 <REP> ..

01/08/2006 17:05 <REP> Adobe

09/07/2006 20:30 <REP> Analog Devices

18/07/2006 21:46 0 auep.exe

03/08/2006 12:16 0 axrdh.exe

09/07/2006 18:46 <REP> ComPlus Applications

23/07/2006 19:05 <REP> Fichiers communs

09/07/2006 20:46 <REP> Free.fr

11/07/2006 23:22 <REP> Google

06/08/2006 13:41 <REP> Hijackthis Version Française

09/07/2006 19:55 <REP> Intel

09/07/2006 19:48 <REP> Internet Explorer

10/07/2006 14:07 <REP> iPod

10/07/2006 14:07 <REP> iTunes

23/07/2006 19:06 <REP> Java

30/07/2006 01:31 0 jhekdlu.exe

01/08/2006 21:21 <REP> Lavasoft

12/07/2006 08:50 <REP> Microsoft IntelliPoint

10/07/2006 14:40 <REP> Microsoft Money

02/08/2006 23:19 <REP> Mozilla Firefox

09/07/2006 23:31 <REP> MSN Messenger

09/07/2006 18:46 <REP> Outlook Express

10/07/2006 14:07 <REP> QuickTime

18/07/2006 21:42 0 secure32.html

09/07/2006 18:46 <REP> Services en ligne

09/07/2006 20:37 <REP> Webteh

09/07/2006 18:45 <REP> Windows NT

09/07/2006 20:35 <REP> WinRAR

31/07/2006 22:38 <REP> Yahoo!

09/07/2006 20:39 <REP> Zone Labs

4 fichier(s) 0 octets

27 Rép(s) 76 376 776 704 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C03A-B975

 

Répertoire de C:\Program Files\fichiers communs

 

23/07/2006 19:05 <REP> .

23/07/2006 19:05 <REP> ..

01/08/2006 17:05 <REP> Adobe

10/07/2006 14:06 <REP> InstallShield

23/07/2006 19:05 <REP> Java

09/07/2006 18:46 <REP> Microsoft Shared

09/07/2006 18:46 <REP> MSSoap

09/07/2006 20:40 <REP> ODBC

09/07/2006 18:46 <REP> Services

09/07/2006 18:46 <REP> System

0 fichier(s) 0 octets

10 Rép(s) 76 376 776 704 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C03A-B975

 

Répertoire de C:\

 

15/07/2006 22:57 976 0xf9.exe

30/07/2006 01:34 0 auji.exe

03/08/2006 12:19 0 chwio.exe

30/07/2006 01:37 0 colpg.exe

03/08/2006 12:23 0 crpbubf.exe

18/07/2006 21:29 0 diugwlxw.exe

30/07/2006 01:36 0 ecfcvj.exe

30/07/2006 01:26 0 ejybp.exe

03/08/2006 12:10 0 fjjkivnw.exe

18/07/2006 21:38 0 fthuw.exe

03/08/2006 12:20 0 fushd.exe

18/07/2006 21:33 0 ghgk.exe

03/08/2006 12:12 0 hfkmx.exe

30/07/2006 01:24 0 hgpsn.exe

18/07/2006 22:04 0 kbwvqps.exe

18/07/2006 21:25 0 kwypcui.exe

18/07/2006 21:55 0 mnmunkw.exe

03/08/2006 12:13 0 mtdx.exe

03/08/2006 12:09 0 ntsuji.exe

03/08/2006 12:22 0 qhyo.exe

30/07/2006 01:33 0 qkqqx.exe

18/07/2006 21:59 0 svbgk.exe

30/07/2006 01:27 0 ubegvnq.exe

03/08/2006 12:17 0 whwktfw.exe

18/07/2006 21:51 0 wjfi.exe

30/07/2006 01:39 0 wodc.exe

30/07/2006 01:29 0 wouvwd.exe

18/07/2006 22:08 0 wylsmd.exe

28 fichier(s) 976 octets

0 Rép(s) 76 376 776 704 octets libres

c:\Documents and Settings\Administrateur\Bureau\Fixwareout.exe

c:\Documents and Settings\Administrateur\Bureau\HijackThisFR.exe

c:\Documents and Settings\Administrateur\Bureau\A graver\Driver photos\setup.exe

c:\Documents and Settings\Administrateur\Bureau\chercher\LFiles.exe

c:\Documents and Settings\Administrateur\Mes documents\aawsepersonal.exe

c:\Documents and Settings\Administrateur\Mes documents\Firefox Setup 1.5.0.5.exe

c:\Documents and Settings\Administrateur\Mes documents\iTunesquick.exe

c:\Documents and Settings\Administrateur\Mes documents\jre-1_5_0_07-windows-i586-p-iftw.exe

c:\Documents and Settings\Administrateur\Mes documents\Msn.exe

c:\Documents and Settings\Administrateur\Mes documents\rp505fra.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

 

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

 

 

 

Voila est ce celui là ?

[Malekal_morte]

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

Rellance FixWareout: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran.

 

Ne redémarre pas l'ordinateur

 

Ensuite télécharges et installes :

KillBox

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

 

C:\WINDOWS\System32\dmhof.exe

C:\WINDOWS\System32\dmnwq.exe

C:\WINDOWS\System32\{4A728F36-D297-4411-A1B9-8B478D4E3785}.exe

C:\WINDOWS\System32\{B4431075-A5DD-4472-8A0D-9D4CBBB317A4}.exe

C:\WINDOWS\System32\{FA996775-A312-42AE-92EB-9477AE0725A9}.exe

C:\WINDOWS\System32\csqqs.exe

C:\WINDOWS\System32\scmt16.exe

C:\WINDOWS\System32\{4A728F36-D297-4411-A1B9-8B478D4E3785}.exe

C:\WINDOWS\System32\{B4431075-A5DD-4472-8A0D-9D4CBBB317A4}.exe

C:\WINDOWS\System32\{FA996775-A312-42AE-92EB-9477AE0725A9}.exe

C:\WINDOWS\system32\etyca.exe

C:\WINDOWS\system32\dmctt.exe

C:\WINDOWS\system32\teqq32.exe

C:\WINDOWS\system32\clamav.exe

C:\0xf9.exe

C:\auji.exe

C:\chwio.exe

C:\colpg.exe

C:\crpbubf.exe

C:\diugwlxw.exe

C:\ecfcvj.exe

C:\ejybp.exe

C:\fjjkivnw.exe

C:\fthuw.exe

C:\fushd.exe

C:\ghgk.exe

C:\hfkmx.exe

C:\hgpsn.exe

C:\kbwvqps.exe

C:\kwypcui.exe

C:\mnmunkw.exe

C:\mtdx.exe

C:\ntsuji.exe

C:\qhyo.exe

C:\qkqqx.exe

C:\svbgk.exe

C:\ubegvnq.exe

C:\whwktfw.exe

C:\wjfi.exe

C:\wodc.exe

C:\wouvwd.exe

 

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

Dans ajout/suppression de programmes, désinstalle si présent :

WhenUSave

KillAndClean

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O4 - HKLM\..\Run: [dmctt.exe] C:\WINDOWS\system32\dmctt.exe

O4 - HKLM\..\Run: [etyca.exe] C:\WINDOWS\system32\etyca.exe

O4 - HKLM\..\Run: [zxc] teqq32.exe

O4 - HKLM\..\Run: [RtlFindVal] clamav.exe

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"

O4 - HKCU\..\Run: [dePloy] lpt.exe

O4 - HKCU\..\Run: [shaitan1678] iehelper.exe

O4 - HKCU\..\Run: [defect08] TRPT.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCE0B69-9890-4B92-8B67-81B1904A6105}: NameServer = 85.255.113.115,85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{4D04058C-05B6-41D7-9DF9-09346BDCA393}: NameServer = 85.255.113.115,85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEE88A7C-4954-4046-8844-E839F3901F91}: NameServer = 85.255.113.115,85.255.112.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- ewido

- poste le contenu de C:\fixwareout\report.txt

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- ainsi qu'un nouveau log HijackThis

Modifié le 6 août 2006 par Malekal_morte