Dossier résolu : copie du rapport hijackthis

[Gof]

Bonsoir Xeti, bonsoir jimy,

 

Bienvenue

 

2 petits liens pour t'aider à t'y retrouver dans les forums de zebulon :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Bon, on va voir où tu en es.

 

Peux tu renommer Hijackthis.exe en jimy.exe. Puis reposter un log hijackthis en mode normal.

Fais ceci également :

-Exécute Hijackthis

• Clique sur Open the misc tools sections
  
• Clique sur Open uninstall Manager
  
• Clique sur Save list
  

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

Modifié le 13 août 2006 par Gof

[jimy]

Bonsoir Gof

 

Merçi de repondre et de m'aider.

 

"Puis reposter un log hijackthis en mode normal" comment ça en mode normale

 

Le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:32:11, on 13/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\PROGRA~1\McAfee\MSC\mctskshd.exe

C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\pctspk.exe

c:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\SiteAdvisor\SiteAdv.exe

c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe

C:\Program Files\hijackthis\jimy.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptsn.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\SiteAdv.dll

O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\RunServices: [Windows Compliant] kpkfml.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Every Toolbar Search - res://C:\PROGRA~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O10 - Hijacked Internet access by New.Net

O15 - Trusted Zone: http://www.caramail.lycos.fr

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1154457940921

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AAE7BADD-76FA-4DD1-B935-74026F5E695A}: NameServer = 212.151.136.242 212.151.137.170

O18 - Protocol: livecall - (no CLSID) - (no file)

O18 - Protocol: msnim - (no CLSID) - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

 

 

 

 

 

 

Bonsoir Xeti, bonsoir jimy,

 

Bienvenue

 

2 petits liens pour t'aider à t'y retrouver dans les forums de zebulon :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Bon, on va voir où tu en es.

 

Peux tu renommer Hijackthis.exe en jimy.exe. Puis reposter un log hijackthis en mode normal.

Fais ceci également :

[jimy]

-Exécute Hijackthis

Clique sur Open the misc tools sections

Clique sur Open uninstall Manager

Clique sur Save list

-Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.

 

Voilà c'est fait et le rapport donne ça :

 

Ad-Aware SE Personal

Adobe Flash Player 9 ActiveX

Adobe Reader 7.0.7 - Français

Archiveur WinRAR

BeWAN ADSL modem

C:\PROGRA~1\LEXMAR~1

Correctif Windows XP - KB834707

Correctif Windows XP - KB867282

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885884

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Correctif Windows XP - KB893086

eDonkey2000

Every Toolbar - Toolbar

HijackThis 1.99.1

J2SE Runtime Environment 5.0 Update 6

Macromedia Shockwave Player

McAfee SecurityCenter

Microsoft Office XP Professional

Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Windows XP (KB883939)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893066)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB896688)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899588)

Mise à jour de sécurité pour Windows XP (KB899589)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB903235)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB905915)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB908531)

Mise à jour de sécurité pour Windows XP (KB911280)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912812)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913446)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB896727)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB916595)

Motherboard Monitor 5

Realtek AC'97 Audio

REALTEK Gigabit and Fast Ethernet NIC Driver

SafeCast Shared Components

VideoLAN VLC media player 0.8.4a

Winamp (remove only)

Windows Genuine Advantage v1.3.0254.0

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows XP Service Pack 2

[Gof]

Pardonne moi, mais je fatigue. Je vais me coucher. Je reviens m'occuper de toi dès demain matin. Ok ?

 

EDIT : allez, une petite procédure rapide alors, mais je verrais le résultat demain. Retour d'ici peu de temps.

Modifié le 13 août 2006 par Gof

[Gof]

Re,

 

1. Téléchargement et installation des outils nécessaires.

• Ewido anti-malware d' Ewido Networks
  Mets le à jour :
  Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  Ferme Ewido. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html
   
   
  
• Télécharge ATF Cleaner par Atribune.
   
   
  
• Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.
   
   
  
• Télécharge LSPfix
   
   
  
• Télécharge winsockfix
   
   
  
• Télécharge FxNdotN.exe
   
   
  
• Double-clique sur FxNdotN.exe, et laisse le travailler.
  =>Si tu perds la connexion -> Double-clique sur LSPfix, coche "I know what I'm doing" puis clique sur "Finish".
  =>Si LSPfix n'a pas fonctionné, décompresse Winsockfix, exécute le et clique sur "Fix".
  

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

2. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

3. Suppression des éléments infectieux :

• Dans Menu Démarrer, Rechercher : copie/colle (ce qui suit en gras) : kpkfml.exe

  Va dans Menu démarrer, Rechercher, Des fichiers ou des dossiers... :
  - Dans Rechercher dans sélectionne Poste de travail
  - clique sur Quand a eu lieu la dernière modification ? et sélectionne Je l'ignore
  - clique sur Quelle est la taille ? et sélectionne Je l'ignore
  - clique sur Options avancées et coche :
  Rechercher dans les dossiers système
  Rechercher dans les fichiers et les dossiers cachés
  Rechercher dans les sous-dossiers
  - Tu peux t'aider et t'inspirer de l'image que tu trouveras ici

  Supprime les fichiers trouvés. Ferme la fenêtre.
   
   
  
• Vide la corbeille.
  

4. Suppression (FIX) des lignes dans HijackThis.

• Lance un scan HijackThis.
  
• clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :
   
  O4 - HKLM\..\RunServices: [Windows Compliant] kpkfml.exe
   
   
  
• Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.
  

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

• Double-cliquer ATF-Cleaner.exe afin de lancer le programme.
  Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  Pour Firefox
  Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
   
   
   
  
• Exécute JV16.
  Mets le logiciel en français Preferences > Language > Français > OK.
  Ensuite, Outils registre > menu Outils > nettoyeur de registre.
  Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
  Clique sur "Continuer" puis sur "Démarrer".
  Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.
  

6. Nettoyage complémentaire par EWIDO.

• Lance Ewido et clique sur Scanner
  
• Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine
  
• Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre
  
• A la fin clique sur Apply all actions
  
• Puis sur Save report et pour finir Save report as, enregistre sur le Bureau
  

7. Redémarrage en mode normal, scan Blacklight et "post" des logs

• Redémarre en mode normal.
   
  Télécharge

Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
 
 
Poste :
le rapport EWIDO
Un nouveau Log HijackThis
le rapport Blacklight

[jimy]

Bonjour Gof

désolé pour hier soir mon pc a planté et impossible de le redemarré j'avais un page noir avec le message suivant : disk faillure .... je sais plus koi

mais ce matin ca remarche heuresement pour moi

je fais ce ke tu m'as dit et je te redis ca une fois fini

 

 

Re,

 

1. Téléchargement et installation des outils nécessaires.

• Ewido anti-malware d' Ewido Networks
  Mets le à jour :
  Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  Ferme Ewido. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_ewidoV4.html
  
• Télécharge ATF Cleaner par Atribune.
  
• Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.
  
• Télécharge LSPfix
  
• Télécharge winsockfix
  
• Télécharge FxNdotN.exe
  
• Double-clique sur FxNdotN.exe, et laisse le travailler.
  =>Si tu perds la connexion -> Double-clique sur LSPfix, coche "I know what I'm doing" puis clique sur "Finish".
  =>Si LSPfix n'a pas fonctionné, décompresse Winsockfix, exécute le et clique sur "Fix".
  

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

2. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

3. Suppression des éléments infectieux :

• Dans Menu Démarrer, Rechercher : copie/colle (ce qui suit en gras) : kpkfml.exe
   
  Supprime les fichiers trouvés. Ferme la fenêtre.
  
• Vide la corbeille.
  

4. Suppression (FIX) des lignes dans HijackThis.

• Lance un scan HijackThis.
  
• clique sur Do a system scan only et coche les lignes ci-dessous (si présentes) :
   
  O4 - HKLM\..\RunServices: [Windows Compliant] kpkfml.exe
  
• Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.
  

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

• Double-cliquer ATF-Cleaner.exe afin de lancer le programme.
  Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  Pour Firefox
  Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  
• Exécute JV16.
  Mets le logiciel en français Preferences > Language > Français > OK.
  Ensuite, Outils registre > menu Outils > nettoyeur de registre.
  Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
  Clique sur "Continuer" puis sur "Démarrer".
  Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.
  

6. Nettoyage complémentaire par EWIDO.

• Lance Ewido et clique sur Scanner
  
• Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine
  
• Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre
  
• A la fin clique sur Apply all actions
  
• Puis sur Save report et pour finir Save report as, enregistre sur le Bureau
  

7. Redémarrage en mode normal, scan Blacklight et "post" des logs

• Redémarre en mode normal.
   
  Télécharge

Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Poste :
le rapport EWIDO
Un nouveau Log HijackThis
le rapport Blacklight

[Gof]

Bonjour jimy,

 

Pas de soucis, va à ton rythme, et si tu as des questions n'hésite pas.

[jimy]

Re Gof

 

Merçi pour ta patience

 

Je viens de finir ce que tu m'as demandé ( mon pc est très lent et j'ai du m'occuper de ma ptite famille en meme temps).

 

J'ai juste eu un ptit souci avec jv16 ce que tu me disais de faire ne correspondait pas à ce que j'avais sous les yeux ( à quelques étapes près) mais j'ai fait ce que je pouvait en esperant que c bon.

 

J'ai dejà une bonne nouvelle je n'ai plus le message de microsoft me disant que : l'application ou la dll C:/program/newdotnet/newdotnet7_22 n'est pas une image valide ..... et je sais plus trop koi.

Donc voilà les rapport :

 

Ewido :

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 15:29:47 14/08/2006

 

+ Scan result:

 

 

 

C:\Documents and Settings\MAISON\Application Data\winantiviruspro2006freeinstall_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Cleaned with backup (quarantined).

 

 

::Report end

 

 

 

 

hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 15:49:25, on 14/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\McAfee\MSC\mctskshd.exe

c:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\pctspk.exe

C:\Program Files\SiteAdvisor\SiteAdv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

F:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptsn.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\SiteAdv.dll

O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Every Toolbar Search - res://C:\PROGRA~1\EVERYT~1.1\everycom.dll/GoRSDN.dll.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet7_22.dll' missing

O15 - Trusted Zone: http://www.caramail.lycos.fr

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1154457940921

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AAE7BADD-76FA-4DD1-B935-74026F5E695A}: NameServer = 212.151.137.166 212.151.136.242

O18 - Protocol: livecall - (no CLSID) - (no file)

O18 - Protocol: msnim - (no CLSID) - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

 

Blackwhite :

 

08/14/06 15:44:20 [info]: BlackLight Engine 1.0.42 initialized

08/14/06 15:44:20 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/14/06 15:44:20 [Note]: 7019 4

08/14/06 15:44:20 [Note]: 7005 0

08/14/06 15:44:28 [Note]: 7006 0

08/14/06 15:44:28 [Note]: 7011 1232

08/14/06 15:44:28 [Note]: 7026 0

08/14/06 15:44:28 [Note]: 7026 0

08/14/06 15:44:28 [Note]: 7024 3

08/14/06 15:44:28 [info]: Hidden process: C:\windows\system32\tmaqfsgver.exe

08/14/06 15:44:28 [Note]: FSRAW library version 1.7.1019

08/14/06 15:46:10 [info]: Hidden file: c:\WINDOWS\system32\tmaqfsgver_nav.dat

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:10 [info]: Hidden file: c:\WINDOWS\system32\tmaqfsgver.dat

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:10 [info]: Hidden file: C:\windows\system32\tmaqfsgver.exe

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:10 [info]: Hidden file: c:\WINDOWS\system32\tmaqfsgver_navps.dat

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:59 [Note]: 7007 0

08/14/06 15:44:20 [info]: BlackLight Engine 1.0.42 initialized

08/14/06 15:44:20 [info]: OS: 5.1 build 2600 (Service Pack 2)

08/14/06 15:44:20 [Note]: 7019 4

08/14/06 15:44:20 [Note]: 7005 0

08/14/06 15:44:28 [Note]: 7006 0

08/14/06 15:44:28 [Note]: 7011 1232

08/14/06 15:44:28 [Note]: 7026 0

08/14/06 15:44:28 [Note]: 7026 0

08/14/06 15:44:28 [Note]: 7024 3

08/14/06 15:44:28 [info]: Hidden process: C:\windows\system32\tmaqfsgver.exe

08/14/06 15:44:28 [Note]: FSRAW library version 1.7.1019

08/14/06 15:46:10 [info]: Hidden file: c:\WINDOWS\system32\tmaqfsgver_nav.dat

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:10 [info]: Hidden file: c:\WINDOWS\system32\tmaqfsgver.dat

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:10 [info]: Hidden file: C:\windows\system32\tmaqfsgver.exe

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:10 [info]: Hidden file: c:\WINDOWS\system32\tmaqfsgver_navps.dat

08/14/06 15:46:10 [Note]: 10002 1

08/14/06 15:46:59 [Note]: 7007 0

 

 

Autre chose je n'ai plus la fenetre intempestive de systemdoctor mais de winantivirus !!!!!

Bon j'espere que j'ai correctement fait ce que tu m'as dit et mille merçi encore de m'aider

 

Bonjour jimy,

 

Pas de soucis, va à ton rythme, et si tu as des questions n'hésite pas.

[Gof]

Re bonjour jimy,

 

Bon boulot, on a bien avancé, mais il en reste. Ewido a détecté ceci :

C:\Documents and Settings\MAISON\Application Data\winantiviruspro2006freeinstall_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Cleaned with backup (quarantined).

Vide la quarantaine d'Ewido. Winantivirus Pro est un faux ami ; l'avais tu installé ?

 

J'espère que tu as conservé LSPFix et WinsockFix, si non retélécharge les.

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Redémarre en mode Sans Échec : au redémarrage, tapote en alternant les touches F5 et F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

-Assure toi d'avoir toujours l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

1. Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
   
2. Cocher la case : Afficher les fichiers et dossiers cachés
   
3. Décocher la case : Masquer les extensions des fichiers dont le type est connu
   
4. Décocher la case : Masquer les fichiers protégés du système d'exploitation
   ---> Répondre OUI à la demande de confirmation
   
5. Cliquer Appliquer puis OK
   

 

-Rends toi dans ton Menu Démarrer>Exécuter et tape ou copie/colle : c:\WINDOWS\system32\

Une fenêtre va s'ouvrir dans le dossier System32 de Windows. Supprime les fichiers suivants :

 

tmaqfsgver.exe

tmaqfsgver_nav.dat

tmaqfsgver.dat

tmaqfsgver_navps.dat

 

Ferme la fenêtre, et vide la corbeille.

 

-Double-clique sur LSPfix, coche "I know what I'm doing" puis clique sur "Finish".

 

-Redémarre en mode normal.

 

-Fais un scan en ligne avec Panda :

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.

Si tu n'y arrives pas, tu trouveras un tuto ici.

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable

 

-Relance Blacklight (de F-Secure).

 

-Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

-Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

-Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

-Poste également le rapport BFU que tu trouveras ici -> C:\egd.txt .

 

Je récapitule, il me faut donc :

• - le rapport BFU
  - le rapport Panda
  - le rapport Blacklight
  - un nouveau log Hijackthis
  

Bon courage

[jimy]

Merçi Gof

je fais ça et je te post les rapports dès que j'ai fini

 

 

Re bonjour jimy,

 

Bon boulot, on a bien avancé, mais il en reste. Ewido a détecté ceci : Vide la quarantaine d'Ewido. Winantivirus Pro est un faux ami ; l'avais tu installé ?

 

J'espère que tu as conservé LSPFix et WinsockFix, si non retélécharge les.

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Redémarre en mode Sans Échec : au redémarrage, tapote en alternant les touches F5 et F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

-Assure toi d'avoir toujours l'accès aux fichiers et dossiers cachés.

 

-Rends toi dans ton Menu Démarrer>Exécuter et tape ou copie/colle : c:\WINDOWS\system32\

Une fenêtre va s'ouvrir dans le dossier System32 de Windows. Supprime les fichiers suivants :

 

tmaqfsgver.exe

tmaqfsgver_nav.dat

tmaqfsgver.dat

tmaqfsgver_navps.dat

 

Ferme la fenêtre, et vide la corbeille.

 

-Double-clique sur LSPfix, coche "I know what I'm doing" puis clique sur "Finish".

 

-Redémarre en mode normal.

 

-Fais un scan en ligne avec Panda :

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.

Si tu n'y arrives pas, tu trouveras un tuto ici.

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable

 

-Relance Blacklight (de F-Secure).

 

-Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

-Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

-Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

-Poste également le rapport BFU que tu trouveras ici -> C:\egd.txt .

 

Je récapitule, il me faut donc :

• - le rapport BFU
  - le rapport Panda
  - le rapport Blacklight
  - un nouveau log Hijackthis
  

Bon courage