interpreter Browser Helper Objects (no name)

[xipe]

voici le rapport combofix,

 

 

jul - 06-11-18 17:41:16,34 Service Pack 2

ComboFix 06.11.9 - Running from: "F:\Documents and Settings\jul\Bureau"

 

((((((((((((((((((((((((((((((( Files Created from 2006-10-18 to 2006-11-18 ))))))))))))))))))))))))))))))))))

 

 

2006-11-18 01:31 684,032 --a------ F:\WINDOWS\system32\libeay32.dll

2006-11-18 01:31 21,568 --a------ F:\WINDOWS\system32\drivers\sshrmd.sys

2006-11-18 01:31 21,056 --a------ F:\WINDOWS\system32\drivers\sskbfd.sys

2006-11-18 01:31 20,544 --a------ F:\WINDOWS\system32\drivers\SSFS0509.sys

2006-11-18 01:31 155,648 --a------ F:\WINDOWS\system32\ssleay32.dll

2006-11-18 01:31 128,064 --a------ F:\WINDOWS\system32\drivers\ssidrv.sys

2006-11-18 01:13 69,689 --a------ F:\WINDOWS\UNZIP.DLL

2006-11-18 01:13 507,904 --a------ F:\WINDOWS\TMUPDATE.DLL

2006-11-18 01:13 286,720 --a------ F:\WINDOWS\PATCH.EXE

2006-11-05 19:54 40,960 --a------ F:\WINDOWS\system32\ov519ext.dll

2006-11-05 19:54 25,211 --a------ F:\WINDOWS\system32\drivers\ov519cmd.sys

2006-11-05 19:54 174,530 --a------ F:\WINDOWS\system32\drivers\ov519vid.sys

2006-11-05 19:54 16,426 --a------ F:\WINDOWS\system32\ov519usd.dll

2006-11-04 14:14 1,245,696 --a------ F:\WINDOWS\system32\msxml4.dll

2006-10-26 14:27 129,784 --------- F:\WINDOWS\system32\pxafs.dll

2006-10-26 14:27 115,880 --------- F:\WINDOWS\system32\pxinsi64.exe

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2006-11-18 17:39 -------- d-------- F:\Program Files\Mozilla Firefox

2006-11-18 16:37 -------- d-------- F:\Documents and Settings\jul\Application Data\Media Player Classic

2006-11-18 01:31 -------- d-------- F:\Program Files\Webroot

2006-11-18 01:29 -------- d-------- F:\Documents and Settings\jul\Application Data\Webroot

2006-11-18 00:30 -------- d-------- F:\Program Files\Soulseek

2006-11-17 17:13 -------- d-------- F:\Program Files\Mozilla Thunderbird

2006-11-17 00:14 -------- d-------- F:\Documents and Settings\jul\Application Data\uTorrent

2006-11-16 23:24 -------- d-------- F:\Program Files\a-squared Free

2006-11-16 17:34 -------- d--h----- F:\Program Files\InstallShield Installation Information

2006-11-16 07:03 -------- d-------- F:\Program Files\Internet Explorer

2006-11-15 18:37 -------- d-------- F:\Program Files\adslTV

2006-11-15 18:26 -------- d-------- F:\Documents and Settings\jul\Application Data\vlc

2006-11-15 18:21 -------- d-------- F:\Program Files\Freeplayer

2006-11-15 17:07 -------- d-------- F:\Program Files\SmartStartMenu

2006-11-15 17:07 -------- d-------- F:\Documents and Settings\jul\Application Data\PlanetHarrington.com

2006-11-15 14:56 -------- d-------- F:\Program Files\capb2i

2006-11-12 22:32 -------- d-------- F:\Documents and Settings\jul\Application Data\Pegtop

2006-11-12 22:30 -------- d-------- F:\Program Files\Pegtop

2006-11-10 21:47 -------- d-------- F:\Program Files\AnglaisFacile.com

2006-11-09 23:31 -------- d-------- F:\Program Files\Raveille

2006-11-08 00:56 -------- d-------- F:\Program Files\Fichiers communs\GTK

2006-11-08 00:56 -------- d-------- F:\Program Files\Fichiers communs

2006-11-07 18:48 -------- d-------- F:\Documents and Settings\jul\Application Data\Apple Computer

2006-11-07 18:40 -------- d-------- F:\Program Files\QuickTime

2006-11-05 19:54 -------- d-------- F:\Program Files\Trust 320 SpaceCam

2006-11-05 13:49 -------- d-------- F:\Program Files\MaxTV Online

2006-11-05 13:12 -------- d-------- F:\Program Files\Java

2006-10-27 23:42 -------- d-------- F:\Program Files\Battlezone II

2006-10-26 14:28 -------- d-------- F:\Program Files\Winamp

2006-10-25 21:40 -------- d-------- F:\Program Files\AVSMedia

2006-10-25 20:08 -------- d-------- F:\Documents and Settings\jul\Application Data\Skype

2006-10-23 16:27 -------- d-------- F:\Program Files\ESTsoft

2006-10-23 16:27 -------- d-------- F:\Documents and Settings\jul\Application Data\ESTSoft

2006-10-21 19:39 -------- d-------- F:\Program Files\Sierra

2006-10-19 21:25 -------- d-------- F:\Program Files\Capture My Screen

2006-10-18 23:27 -------- d-------- F:\Documents and Settings\jul\Application Data\SecuROM

2006-10-18 23:23 -------- d-------- F:\Program Files\Sierra(2)

2006-10-18 16:11 -------- d-------- F:\Program Files\eMule

2006-10-17 18:27 -------- d-------- F:\Program Files\CascadePC

2006-10-17 18:18 -------- d-------- F:\Program Files\MaxSoftware

2006-10-17 18:16 -------- d-------- F:\Program Files\Real Alternative

2006-10-16 19:23 -------- d-------- F:\Documents and Settings\jul\Application Data\OpenOffice.org2

2006-10-15 22:56 -------- d-------- F:\Program Files\Misfit Model 3D

2006-10-13 13:36 65536 --a------ F:\WINDOWS\system32\nwwks.dll

2006-10-13 13:36 64000 --a------ F:\WINDOWS\system32\nwapi32.dll

2006-10-13 13:36 145920 --a------ F:\WINDOWS\system32\nwprovau.dll

2006-10-13 11:23 163584 --a------ F:\WINDOWS\system32\drivers\nwrdr.sys

2006-10-08 00:38 -------- d-------- F:\Documents and Settings\jul\Application Data\ClasseImage

2006-10-07 23:38 -------- d-------- F:\Program Files\Radio Fr Solo

2006-10-07 17:12 -------- d-------- F:\Program Files\Picasa2

2006-10-04 19:55 -------- d-------- F:\Program Files\AxBx

2006-10-04 18:34 -------- d-------- F:\Program Files\Comodo

2006-10-04 18:05 -------- d-------- F:\Program Files\Trustix

2006-10-04 16:43 -------- d-------- F:\Documents and Settings\jul\Application Data\Comodo

2006-10-01 12:29 45525 --a------ F:\WINDOWS\system32\nyixgomy.dll

2006-09-27 15:47 778656 --a------ F:\WINDOWS\system32\drivers\avg7core.sys

2006-09-24 10:18 -------- d-------- F:\Program Files\Ubisoft

2006-09-23 19:35 45525 --a------ F:\WINDOWS\system32\mrntpskk.dll

2006-09-23 18:48 -------- d-------- F:\Program Files\Fichiers communs\Bcgsoft

2006-09-23 18:44 -------- d-------- F:\Program Files\The Game Creators

2006-09-23 12:57 -------- d-------- F:\Program Files\Microsoft Games

2006-09-22 20:08 -------- d---s---- F:\Documents and Settings\jul\Application Data\Microsoft

2006-09-19 22:34 -------- d-------- F:\Documents and Settings\jul\Application Data\dvdcss

2006-09-13 06:03 1084416 --a------ F:\WINDOWS\system32\msxml3.dll

2006-08-25 16:51 617472 --a------ F:\WINDOWS\system32\comctl32.dll

2006-08-23 22:39 42920 --a------ F:\WINDOWS\system32\vsutil_loc040c.dll

2006-08-21 13:26 16896 --a------ F:\WINDOWS\system32\fltlib.dll

2006-08-21 10:14 23040 --a------ F:\WINDOWS\system32\fltmc.exe

2006-08-18 14:26 2580 --a------ F:\WINDOWS\system32\kgcokakf.exe

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries are not shown

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"RamBooster"="\"F:\\Program Files\\RamBooster\\Rambooster.exe\""

"PegtopPStart"="\"F:\\Program Files\\Pegtop\\PStart\\PStart.exe\""

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"SunJavaUpdateSched"="\"F:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""

"AVG7_CC"="\"F:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe\" /STARTUP"

"ATICCC"="\"F:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"

"Zone Labs Client"="\"F:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

"SpySweeper"="\"F:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeperUI.exe\" /startintray"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]

"Installed"="1"

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]

"DeskHtmlVersion"=dword:00000110

"DeskHtmlMinorVersion"=dword:00000005

"Settings"=dword:00000001

"GeneralFlags"=dword:00000005

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

"Flags"=dword:00000002

"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\

00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

"CurrentState"=hex:04,00,00,40

"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\

ff,ff,04,00,00,00

"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\

00,00,01,00,00,00

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="F:\\WINDOWS\\System32\\CTFMON.EXE"

 

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="F:\\WINDOWS\\System32\\CTFMON.EXE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"

"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ekyvsr

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbme32

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WebrootSpySweeperService

Completion time: 06-11-18 17:42:45.63

F:\ComboFix.txt ... 06-11-18 17:42

[Thanos]

salut

 

Est ce que tu peux stp faire analyser ces fichiers pour lesquels je n'ai aucune info?

 

Lorsque tu cliques sur cette adresse => http://www.virustotal.com/flash/index_en.html

 

tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier nyixgomy.dll que tu trouveras en allant dans le dossier F:\WINDOWS\system32

 

Tu cliques une fois sur le fichier nyixgomy.dll (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour les suivants=>

 

F:\WINDOWS\system32\mrntpskk.dll

F:\WINDOWS\system32\kgcokakf.exe

 

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

-Télécharge puis installe AVG Anti-Spyware (AVG AS)

Une fois AVG AS lancé, clique sur "Mise à jour"

Ferme le programme.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

Étape 2:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - (no file)

O2 - BHO: (no name) - {FD0DA701-63CB-4189-AE75-072CD0857036} - (no file)

 

O15 - Trusted Zone: http://locator.cdn.imageservr.com

O15 - Trusted Zone: http://locator1.cdn.imageservr.com

 

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/...FreeInstall.cab

 

O20 - Winlogon Notify: ekyvsr - F:\WINDOWS\security\ekyvsr.dll (file missing)

O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\

O20 - Winlogon Notify: winbme32 - winbme32.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 3:

 

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

• Ouvre Firefox et clique sur Outils=> Options
  
• Clique sur l'onglet Vie Privée
  
• clique sur le bouton Vider le cache dans l'onglet "Historique"
  
• clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  
• clique sur le bouton Vider le cache dans l'onglet "Cache"
  
• clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.
  

Étape 4:

 

Relance AVG AS puis choisis l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"

Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

 

/!\ Si un fichier infecté est détécté en fin d'analyse /!\

Clique sur "Appliquer toutes les actions "

 

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistre ce fichier texte sur ton bureau.

 

Étape 5:

 

Resémarre le pc normalement et poste stp =>

 

- un nouveau rapport hijackthis

- le rapport d'Avg As

- le rappoprt des fichiers scannés.

 

@+

Modifié le 19 novembre 2006 par charles ingals

[xipe]

bonjour

une petite question: lorsque je scan le fichier nyixgomy.dll avec Virus Total une fenetre de mon antivirus (avgfree) s'ouvre et me propose de mettre nyixgomy.dll en quarantaine. Dois-je le faire ?

[Thanos]

salut

 

Oui!! accepte de mettre le fichier en quarantaine! Quel message reçois tu ? (le nom de l'infection détectée)

[xipe]

salut

 

Oui!! accepte de mettre le fichier en quarantaine! Quel message reçois tu ? (le nom de l'infection détectée)

 

 

 

salut, le nom de l'infection est le nom des 2 dll que tu me demandes de scanner : mrntpskk.dll et nyixgomy.dll

 

 

sinon, je viens de finir toutes les procédures que tu m'as conseillé, en voici les rapports :

 

hijack

 

Logfile of HijackThis v1.99.1

Scan saved at 19:21:04, on 19/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\Ati2evxx.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\ZoneLabs\vsmon.exe

F:\WINDOWS\system32\Ati2evxx.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

F:\Program Files\ATI Technologies\ATI.ACE\cli.exe

F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

F:\Program Files\RamBooster\Rambooster.exe

F:\Program Files\ATI Technologies\ATI.ACE\cli.exe

F:\Program Files\ATI Technologies\ATI.ACE\cli.exe

F:\Documents and Settings\jul\Bureau\hijackthis\HijackThis.exe

 

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "F:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG7_CC] "F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [ATICCC] "F:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [spySweeper] "F:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [RamBooster] "F:\Program Files\RamBooster\Rambooster.exe"

O4 - HKCU\..\Run: [PegtopPStart] "F:\Program Files\Pegtop\PStart\PStart.exe"

O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1140882397918

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - F:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Comodo Application Agent (CmdAgent) - Unknown owner - F:\Program Files\Comodo\Personal Firewall\cmdagent.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

 

Avg As

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 19:02:45 19/11/2006

 

+ Résultat de l'analyse:

 

 

 

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043673.exe -> Adware.HelpExpress : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP293\A0053776.exe -> Adware.Searchcolor : Aucune action entreprise.

F:\WINDOWS\system32\mrntpskk.dll -> Logger.VBStat.e : Aucune action entreprise.

F:\WINDOWS\system32\nyixgomy.dll -> Logger.VBStat.e : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043685.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043686.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043687.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043688.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043689.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Aucune action entreprise.

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043690.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Aucune action entreprise.

C:\mes docs\jeux\sauvegardes jeux\oblivion etc\mods oblivion\MD_Saddle_Bags_v1.1.zip/MD_Saddle_Bags_DLCHorseArmor_Patcher.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Aucune action entreprise.

:mozilla.12:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise.

:mozilla.13:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise.

:mozilla.6:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.

:mozilla.7:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.

:mozilla.8:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Comclick : Aucune action entreprise.

:mozilla.23:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.24:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.25:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.26:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.27:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.28:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.29:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Falkag : Aucune action entreprise.

:mozilla.41:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Statcounter : Aucune action entreprise.

:mozilla.21:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.

:mozilla.16:F:\Documents and Settings\jul\Mes documents\Firefox 1.5.0.6 (fr) - 2006-09-13.pcv/cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.

C:\applications\VirtualDub-1.6.10.zip/vdub.exe -> Trojan.Delf.sp : Aucune action entreprise.

 

 

Fin du rapport

 

et enfin les rapports des 3 fichiers suspects

 

 

"mrntpskk.dll"

, received in VirusTotal at 11.19.2006, 15:41:21 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 no virus found

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.18.2006 no virus found

BitDefender 7.2 11.19.2006 no virus found

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.18.2006 no virus found

DrWeb 4.33 11.19.2006 no virus found

eSafe 7.0.14.0 11.19.2006 no virus found

eTrust-InoculateIT 23.73.59 11.18.2006 no virus found

eTrust-Vet 30.3.3197 11.17.2006 no virus found

Ewido 4.0 11.19.2006 no virus found

Fortinet 2.82.0.0 11.19.2006 no virus found

F-Prot 3.16f 11.17.2006 no virus found

F-Prot4 4.2.1.29 11.17.2006 no virus found

Ikarus 0.2.65.0 11.17.2006 no virus found

Kaspersky 4.0.2.24 11.19.2006 no virus found

McAfee 4899 11.18.2006 no virus found

Microsoft 1.1609 11.19.2006 no virus found

NOD32v2 1870 11.17.2006 no virus found

Norman 5.80.02 11.17.2006 no virus found

Panda 9.0.0.4 11.19.2006 no virus found

Prevx1 V2 11.19.2006 no virus found

Sophos 4.11.0 11.16.2006 no virus found

TheHacker 6.0.3.122 11.18.2006 no virus found

UNA 1.83 11.17.2006 no virus found

VBA32 3.11.1 11.19.2006 no virus found

VirusBuster 4.3.15:9 11.18.2006 no virus found

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

 

 

 

"nyixgomy.dll",

received in VirusTotal at 11.19.2006, 15:31:37 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 no virus found

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.18.2006 no virus found

BitDefender 7.2 11.19.2006 no virus found

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.18.2006 no virus found

DrWeb 4.33 11.19.2006 no virus found

eSafe 7.0.14.0 11.19.2006 no virus found

eTrust-InoculateIT 23.73.59 11.18.2006 no virus found

eTrust-Vet 30.3.3197 11.17.2006 no virus found

Ewido 4.0 11.19.2006 no virus found

Fortinet 2.82.0.0 11.19.2006 no virus found

F-Prot 3.16f 11.17.2006 no virus found

F-Prot4 4.2.1.29 11.17.2006 no virus found

Ikarus 0.2.65.0 11.17.2006 no virus found

Kaspersky 4.0.2.24 11.19.2006 no virus found

McAfee 4899 11.18.2006 no virus found

Microsoft 1.1609 11.19.2006 no virus found

NOD32v2 1870 11.17.2006 no virus found

Norman 5.80.02 11.17.2006 no virus found

Panda 9.0.0.4 11.19.2006 no virus found

Prevx1 V2 11.19.2006 no virus found

Sophos 4.11.0 11.16.2006 no virus found

TheHacker 6.0.3.122 11.18.2006 no virus found

UNA 1.83 11.17.2006 no virus found

VBA32 3.11.1 11.19.2006 no virus found

VirusBuster 4.3.15:9 11.18.2006 no virus found

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

 

 

et "kgcokakf.exe"

received on 11.19.2006 at 15:50:36 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 TR/Adload.MAS.2

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.18.2006 no virus found

BitDefender 7.2 11.19.2006 Trojan.Adload.MAS

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.18.2006 Trojan.Downloader.Adload-77

DrWeb 4.33 11.19.2006 no virus found

Aditional Information

File size: 2580 bytes

MD5: c98a84224f720a0be31c70f60da4dac8

SHA1: 0d28a5bb89ffa5bae68a2958cb9557287b45c911

 

 

 

j'avoue que je suis bien content que tu m'aides car j'ai beau essayer de comprendre toutes ces manipes, j'ai du mal à suivre...

 

merci et bon courage

[xipe]

Encore moi...java script:emoticon('', 'smid_13')

 

les deux dll citées ne se trouvent puls dans system32, en revanche, kgcokakf.exe est toujours là.

Le rapport de www.virustotal.com semble le considéré comme un trojan, mais quand je l'analyse avec avg spyware, a-squared ou encore spy sweeper aucun ne me le signale comme étant dangereux...

[Thanos]

salut Xipe

 

Qu'est ce que tu ne comprends pas? Plusieurs remarques et commentaires à faire =>

 

1) le résultat du scan d'AVG As

F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043673.exe -> Adware.HelpExpress : Aucune action entreprise.

Comme c'est précisé(en rouge), ca veut dire que le scan Avg AS a mal été configuré et qu'il a juste détecté les infections mais ne les a pas éliminées!!(on aurait du voir la notation "Nettoyé et sauvegardé (mise en quarantaine)" ) Voilà ce qu'il faut faire la prochaine fois que tu utilises le scan Avg =>

/!\ Si un fichier est infecté détécté en fin d'analyse /!\

Clique sur "Appliquer toutes les actions "

Pense à ca car tu vas devoir le réutiliser pour nettoyer , sinon rien ne sera désinfecté!!

 

2) Tu as installé Spysweeper entre temps qui est très bon, mais du coup tu as deux antispywares qui fonctionnent en même temps: c'est vraiment déconseillé!!(plantages en vue!)Avg As que je t'ai demandé de télécharger ne protègera ton pc que 30 jours, puis il perdra ses fonctions: il reste utile après ca pour scanner et nettoyer le pc! Pour ce qui est de Spysweeper, si tu ne l'a pas acheté; il est à l'essai 14 jours!!On va désactiver une des deux protections(sauf si tu as acheté Spysweeper bien sûr!)

 

3) Tu me dit que ton antivirus Avg7 , a mis ces deux fichiers en quarantaine? ( mrntpskk.dll et nyixgomy.dll) , ceci dit dans le rapport d'AVG As(l'antispyware), on voit qu'il les détecte encore!! Es tu sûr que les fichiers en question ont disparu??

 

4) kgcokakf.exe est toujours là et on va s'en débarrasser car même si tes protections ne le voient pas comme infectieux, je pense qu'il n'est pas légitime: tu n'as pas posté l'intégralité du rapport de scan en ligne de ce fichier (il manque des moteurs de détection!).Si tu l'as , poste le entier stp

 

Je te poste une petite procédure rapide pour nettoyer les restes ...après manger

Modifié le 20 novembre 2006 par charles ingals

[xipe]

Bon appétit alors ...

 

1) Concernant F:\System Volume Information\_restore{FA5748C9-CC6A-4254-9C00-B32E65B0B78C}\RP244\A0043673.exe -> Adware.HelpExpress : Aucune action entreprise.

 

c'est moi qui ai demandé à ce qu'aucune action ne soit entreprise contre ce fichier car je pensais que c'était un composant du logiciel ad-ware installé sur ma machine.

Mai j'ai bien cliqué sur "Appliquer toutes les actions "

 

2) j'ai enlever la clé de démarrage de ces 2 programmes avec ccleaner donc ils ne se lancent pas sans mon action

 

3) maintenant il n'y sont plus (j'attendais ta confirmation)

 

4) j'ai essayé deux fois et il manque tjrs des moteurs... je vais encore tenter

 

ùerci encore

[Thanos]

c'est moi qui ai demandé à ce qu'aucune action ne soit entreprise contre ce fichier car je pensais que c'était un composant du logiciel ad-ware installé sur ma machine.

Mai j'ai bien cliqué sur "Appliquer toutes les actions "

Non rien à voir avec Ad-Aware SE mais d'un Adware ( http://fr.wikipedia.org/wiki/Publiciel) , à éliminer.

 

Tu dis que tu as bien cliqué sur "Appliquer toutes les actions " , mais as tu précisé l'action à mener, à savoir "Quarantaine" ? parce que tous les fichiers trouvés ont été ignorés..

 

Un peu de nettoyage à faire :

 

*Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle le programme suivant:

 

Comodo Personal Firewall => un de trop! tu as déjà Zone Alarm.

 

on va scanner ton pc pour finir avec Spysweeper(autant l'utiliser )

Commence par arrêter AvG As (l'antispyware) via l'icône dans la barre des tâches.

• Met Spysweeper à jour.
  
• Lorsque les mises à jour seront installées, clic Options sur la gauche.
  
• Clic sur l'onglet Sweep Options.
  
• Sous What to Sweep, coche les options suivantes:
  • 
    
  • Sweep Memory
    
  • Sweep Registry
    
  • Sweep Cookies
    
  • Sweep All User Accounts
    
  • Enable Direct Disk Sweeping
    
  • Sweep Contents of Compressed Files
    
  • Sweep for Rootkits
    
  • DÉCOCHE Do not Sweep System Restore Folder.
    

  [*]Clic Sweep Now sur la gauche.

  [*]Clic sur Start.

  [*]Quand le scan est terminé, clic sur Next.

  [*]Assure-toi que tous les items sont cochés, puis clic sur Next.

  [*]Tous les items cochés seront éliminés.

  [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

  [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

  [*]Clic sur l'onglet Summary, puis clic sur Finish.

  [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

@+ tard

[xipe]

 

Un peu de nettoyage à faire :

 

*Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle le programme suivant:

 

Comodo Personal Firewall => un de trop! tu as déjà Zone Alarm.

 

Par là comme par ccleaner, pas de trace de comodo personal firewall

 

 

voici un rapport plus complet de virustotal sur l'objet kgcokakf.exe

 

ile "kgcokakf.exe" received on 11.19.2006 at 21:59:00 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

 

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 TR/Adload.MAS.2

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.19.2006 no virus found

BitDefender 7.2 11.19.2006 Trojan.Adload.MAS

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.19.2006 Trojan.Downloader.Adload-77

DrWeb 4.33 11.19.2006 no virus found

eSafe 7.0.14.0 11.19.2006 no virus found

eTrust-InoculateIT 23.73.59 11.18.2006 Win32/Secdrop.5pg!Trojan

eTrust-Vet 30.3.3197 11.17.2006 Win32/Secdrop!generic

Ewido 4.0 11.19.2006 no virus found

Fortinet 2.82.0.0 11.19.2006 no virus found

F-Prot 3.16f 11.17.2006 no virus found

F-Prot4 4.2.1.29 11.17.2006 no virus found

 

Aditional Information

File size: 2580 bytes

MD5: c98a84224f720a0be31c70f60da4dac8

SHA1: 0d28a5bb89ffa5bae68a2958cb9557287b45c911

 

le sweep scan est en route