Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Probleme pour supprimer Spyware-secure HELP !

freboliv
 Partager

Messages recommandés

freboliv Junior Member

freboliv

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Je suis en train de nettoyer la machine d'un amis, et malgré les scans d'antivrus et de d'anti-spyware je ne suis pas arrivé à supprimer le problème, des fenêtres pop-up pour acheter spyware-secure qui s'ouvrent à tour de bras...C'est vraiment la galère.

 

J'ai donc fait des recherches sur google, et visiblement c'est pas vraiment simple à supprimer.

 

J'ai suivi la procédure donné sur ce topic : http://forum.zebulon.fr/index.php?showtopi...rt=#entry952552

 

J'ai lancé HiJackThis, puis j'ai lancé en mode "1" le logiciel SmitfraudFix.exe puis ensuite j'ai lancé un scan avec F-secure Blacklight.

 

 

Ci-dessous, les 3 rapports :

 

 

[b]D'abord de scan de HiJackThis :[/b]

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:25:16, on 07/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spupdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\spnpinst.exe

C:\WINDOWS\system32\Sysocmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Documents and Settings\Famille\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rdbbjihieobuulyrgxpd.com/pMRc62...6SmP/b4GHp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jmmqplbsaikdudoyimsjjoyh.com/pM...kJUp5U_nYI.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {C7B0BBD2-6893-880C-BEC6-4FEF57239E1A} - C:\DOCUME~1\SOLNE~1\APPLIC~1\WARNCD~1\exitsend.exe (file missing)

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Timer] C:\WINDOWS\msncomm.exe /i

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [RtlFindVal] EXE32EXE.exe

O4 - HKLM\..\Run: [driver64] borlandg.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RegsAimFaceMfcd] C:\Documents and Settings\All Users\Application Data\less joy regs aim\ActiveBias.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Pop] C:\DOCUME~1\Famille\APPLIC~1\BUILDP~1\LinkSoftwareBarb.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O8 - Extra context menu item: Web Rebates. - file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123752383328

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{867497D2-2FFF-4CC5-8B83-889C6A87162F}: NameServer = 85.255.115.20,85.255.112.81

O17 - HKLM\System\CCS\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: NameServer = 85.255.115.20,85.255.112.81

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.81

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.81

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

 

 

 

Maintenant le scan de SmitFraudFix

 

 

________________

SmitFraudFix v2.176

 

Rapport fait à 20:57:16,37, 07/05/2007

Executé à partir de C:\Documents and Settings\famille\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spupdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\spnpinst.exe

C:\WINDOWS\system32\Sysocmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\windows\system32\mhdhjmoq.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Famille\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"="cszgf.exe"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

 

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 85.255.115.20

DNS Server Search Order: 85.255.112.81

 

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

 

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 85.255.115.20

DNS Server Search Order: 85.255.112.81

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FA837BD-5DE7-427C-ADC4-92C9D49312D4}: DhcpNameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CCS\Services\Tcpip\..\{867497D2-2FFF-4CC5-8B83-889C6A87162F}: NameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: NameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FA837BD-5DE7-427C-ADC4-92C9D49312D4}: DhcpNameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CS1\Services\Tcpip\..\{867497D2-2FFF-4CC5-8B83-889C6A87162F}: NameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: NameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FA837BD-5DE7-427C-ADC4-92C9D49312D4}: DhcpNameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CS3\Services\Tcpip\..\{867497D2-2FFF-4CC5-8B83-889C6A87162F}: NameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: NameServer=85.255.115.20,85.255.112.81

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.115.20 85.255.112.81

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.115.20 85.255.112.81

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.115.20 85.255.112.81

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

ET la le log de F-secure Blacklight :

- - - - - - - - - - - - - - - - - - - - - - -

 

05/07/07 20:59:47 [info]: BlackLight Engine 1.0.61 initialized

05/07/07 20:59:47 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/07/07 20:59:47 [Note]: 7019 4

05/07/07 20:59:47 [Note]: 7005 0

05/07/07 20:59:49 [Note]: 7006 0

05/07/07 20:59:49 [Note]: 7011 716

05/07/07 20:59:49 [Note]: 7026 0

05/07/07 20:59:49 [Note]: 7026 0

05/07/07 20:59:49 [Note]: 7024 3

05/07/07 20:59:49 [info]: Hidden process: C:\windows\system32\mhdhjmoq.exe

05/07/07 20:59:50 [Note]: FSRAW library version 1.7.1021

05/07/07 21:02:57 [info]: Hidden file: c:\WINDOWS\system32\cszgf.exe

05/07/07 21:02:57 [Note]: 7002 32

05/07/07 21:02:57 [Note]: 7003 1

05/07/07 21:02:57 [Note]: 10002 1

05/07/07 21:02:59 [info]: Hidden file: c:\WINDOWS\system32\six.exe

05/07/07 21:02:59 [Note]: 10002 1

05/07/07 21:03:00 [info]: Hidden file: c:\WINDOWS\system32\{4C4A2F05-5E2F-482D-B89C-00A87920E8FB}.exe

05/07/07 21:03:00 [Note]: 10002 1

05/07/07 21:03:01 [info]: Hidden file: c:\WINDOWS\system32\mhdhjmoq.dat

05/07/07 21:03:01 [Note]: 10002 1

05/07/07 21:03:01 [info]: Hidden file: C:\windows\system32\mhdhjmoq.exe

05/07/07 21:03:01 [Note]: 10002 1

05/07/07 21:03:01 [info]: Hidden file: c:\WINDOWS\system32\mhdhjmoq_nav.dat

05/07/07 21:03:01 [Note]: 10002 1

05/07/07 21:03:01 [info]: Hidden file: c:\WINDOWS\system32\mhdhjmoq_navps.dat

05/07/07 21:03:01 [Note]: 10002 1

05/07/07 21:03:53 [Note]: 2000 1012

05/07/07 21:03:53 [Note]: 2000 1012

05/07/07 21:03:53 [Note]: 2000 1012

05/07/07 21:03:53 [Note]: 2000 1012

05/07/07 21:05:35 [Note]: 7007 0

 

VOILA !

 

 

Merci de votre aide, je suis vraiment dans la galère !.

HELP me :P

 

Freb.

(Je reste en ligne ce soir...)

Modifié par freboliv

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Bonsoir

 

Sur HijackThis, coche ces lignes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rdbbjihieobuulyrgxpd.com/pMRc62...6SmP/b4GHp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jmmqplbsaikdudoyimsjjoyh.com/pM...kJUp5U_nYI.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{867497D2-2FFF-4CC5-8B83-889C6A87162F}: NameServer = 85.255.115.20,85.255.112.81

O17 - HKLM\System\CCS\Services\Tcpip\..\{F95745B7-9EF8-4AA7-92F3-58808DEC1B4D}: NameServer = 85.255.115.20,85.255.112.81

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.81

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.20 85.255.112.81

 

--> clic sur fix checked

 

 

Télécharge FixWareout LonnyRJones de d'un de ces deux sites sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.

Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HiJackThis.

 

ET :

 

 

Suis la procédure avec navilog1 décrite ici : http://www.malekal.com/Adware.Magic_Control.html

 

Cette procédure doit être suivie à la lettre.

Pour la partie éradication, la suite de lettres est : mhdhjmoq

 

Merci de copier/coller les rapports obtenus en suivant la procédure.

freboliv Junior Member

freboliv

Posté(e)
  • Auteur
Posté(e)

J'ai effectuer ce que tu as dis :

Fixer le lignes demandé avec HiJackThis,

Executer Fixwareout,

Relancer HijackThis,

 

Voici donc les rapport de Fixwareout et HiJackThis après nettoyage avec Fixwareout.

 

Merci de ton aide..J'attend ta réponse.

En attendant, je fait le reste de la manip, cad la procédure avec Navilog du site Malekal.

 

Freb.

 

SCAN DE FIXWAREOUT :

- - - - - - - - - - - - - - - - - - - - -

Fixwareout Last edited 4/5/2007

Post this report in the forums please

...

»»»»»Prerun check

HKLM\SOFTWARE\~\CurrentVersion\Run\ ="dmasm"

HKLM\SOFTWARE\~\CurrentVersion\Run\ ="dmvqj"

HKLM\SOFTWARE\~\Winlogon\ "System"="csmxx.exe"

 

»»»»» System restarted

 

»»»»» Postrun check

HKLM\SOFTWARE\~\version\Run\ "dmasm"

HKLM\SOFTWARE\~\version\Run\ "dmvqj"

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ruins "0" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "xedocne" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "gib_ogol" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "repiwoh" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "llun" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "23plhps" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "mgcppp" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "tesvaf" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "nlcalik" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "swen" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "ogol" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "eerht" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "ruof" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "eno" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "owt" Deleted

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "evif" Deleted

HKLM\~\currentversion\run "dmasm.exe" Deleted

HKLM\~\currentversion\run "dmvqj.exe" Deleted

C:\WINDOWS\System32\csmxx.exe Deleted

....

»»»»» Misc files.

C:\WINDOWS\RDT.INI Deleted

C:\WINDOWS\system32\{4C4A2F05-5E2F-482D-B89C-00A87920E8FB}.exe Deleted

....

»»»»» Checking for older varients.

....

 

Search five digit cs, dm, kd, jb, other, files.

The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

 

 

 

Click browse, find the file then click submit.

http://www.virustotal.com/flash/index_en.html

Or http://virusscan.jotti.org/

 

»»»»» Other

 

 

 

»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Logitech Utility"="Logi_MwX.Exe"

"SoundMan"="SOUNDMAN.EXE"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"LogitechVideoRepair"="C:\\Program Files\\Logitech\\Video\\ISStart.exe"

"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

"LogitechVideoTray"="C:\\Program Files\\Logitech\\Video\\LogiTray.exe"

"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"Timer"="C:\\WINDOWS\\msncomm.exe /i"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_11\\bin\\jusched.exe\""

"RtlFindVal"="EXE32EXE.exe"

"driver64"="borlandg.exe"

"HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"

"RegsAimFaceMfcd"="C:\\Documents and Settings\\All Users\\Application Data\\less joy regs aim\\ActiveBias.exe"

"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"

"SDR6V_Check"="\"C:\\Program Files\\Fichiers communs\\DriveCleaner Free\\udcsdr.exe\""

"WA6PV_Check"="\"C:\\Program Files\\Fichiers communs\\DriveCleaner Free\\udcwap.exe\""

"mhdhjmoq"="c:\\windows\\system32\\mhdhjmoq.exe mhdhjmoq"

"ethajaqdm"="c:\\windows\\system32\\ethajaqdm.exe ethajaqdm"

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

"Creative Pop"="C:\\DOCUME~1\\Famille\\APPLIC~1\\BUILDP~1\\LinkSoftwareBarb.exe"

"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\" /WinStart"

....

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

 

 

 

Rapport de HijackThis après Fixwareout :

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

Logfile of HijackThis v1.99.1

Scan saved at 09:20:54, on 08/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\spupdsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spnpinst.exe

C:\WINDOWS\system32\Sysocmgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\LVComS.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\MediaKey\Versato.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\MediaKey\MePlayer.exe

C:\Program Files\MediaKey\OSD.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\totalcmd\TOTALCMD.EXE

C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

C:\Documents and Settings\Famille\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {C7B0BBD2-6893-880C-BEC6-4FEF57239E1A} - C:\DOCUME~1\SOLNE~1\APPLIC~1\WARNCD~1\exitsend.exe (file missing)

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Timer] C:\WINDOWS\msncomm.exe /i

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [RtlFindVal] EXE32EXE.exe

O4 - HKLM\..\Run: [driver64] borlandg.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RegsAimFaceMfcd] C:\Documents and Settings\All Users\Application Data\less joy regs aim\ActiveBias.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"

O4 - HKLM\..\Run: [WA6PV_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcwap.exe"

O4 - HKLM\..\Run: [mhdhjmoq] c:\windows\system32\mhdhjmoq.exe mhdhjmoq

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Pop] C:\DOCUME~1\Famille\APPLIC~1\BUILDP~1\LinkSoftwareBarb.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000

O8 - Extra context menu item: Web Rebates. - file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123752383328

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

 

MERCI !!

 

Freb

freboliv Junior Member

freboliv

Posté(e)
  • Auteur
Posté(e)

Salut,

 

Ca y est, j'ai suivi à la lettre la procédure indiquer sur le lien que tu m'as donné (http://www.malekal.com/Adware.Magic_Control.html).

 

 

 

Le rapport de Navilog est ici :

------------------------------------------

Search Navipromo version 1.1.6 commencé le 08/05/2007 à 9:59:03,92

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Documents and Settings\Famille\Bureau

Mise a jour le 02.05.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

MessengerSkinner

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\MessengerSkinner trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Famille\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\ethajaqdm.dat

C:\windows\system32\ethajaqdm.exe

c:\WINDOWS\system32\ethajaqdm_nav.dat

c:\WINDOWS\system32\ethajaqdm_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\ethajaqdm.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\ethajaqdm.dat trouvé !

C:\WINDOWS\system32\mhdhjmoq.dat trouvé !

**

C:\WINDOWS\system32\ethajaqdm.dat trouvé !

C:\WINDOWS\system32\mhdhjmoq.dat trouvé !

***

****

C:\WINDOWS\system32\ethajaqdm_navps.dat trouvé !

C:\WINDOWS\system32\mhdhjmoq_navps.dat trouvé !

*****

******

*******

********

C:\WINDOWS\system32\ethajaqdm.exe trouvé !

C:\WINDOWS\system32\mhdhjmoq.exe trouvé !

 

 

*** Analyse Terminé le 08/05/2007 à 10:03:19,03 ***

 

 

Et ici le rapport après nettoyage (saisie manuel du nom en mode 4 de Navilog).

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Clean Navipromo version 1.1.6 commencé le 08/05/2007 à 10:22:16,00

 

Fix lancé depuis C:\Documents and Settings\Famille\Bureau

Mise a jour le 02.05.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode sans echec

 

Mode suppression par méthode manuelle

 

Nom du fichier saisi : ethajaqdm

 

*** Recherche, Creation backups et suppression ***

 

C:\WINDOWS\system32\ethajaqdm_navup.dat absent !

C:\WINDOWS\system32\ethajaqdm_navtmp.dat absent !

C:\WINDOWS\system32\ethajaqdm_m2s.xml absent !

 

C:\WINDOWS\system32\ethajaqdm.exe trouvé !

Copie C:\WINDOWS\system32\ethajaqdm.exe realise avec succes !

C:\WINDOWS\system32\ethajaqdm.exe supprimé !

 

C:\WINDOWS\system32\ethajaqdm.dat trouvé !

Copie C:\WINDOWS\system32\ethajaqdm.dat realise avec succes !

C:\WINDOWS\system32\ethajaqdm.dat supprimé !

 

C:\WINDOWS\system32\ethajaqdm_nav.dat trouvé !

Copie C:\WINDOWS\system32\ethajaqdm_nav.dat realise avec succes !

C:\WINDOWS\system32\ethajaqdm_nav.dat supprimé !

 

C:\WINDOWS\system32\ethajaqdm_navps.dat trouvé !

Copie C:\WINDOWS\system32\ethajaqdm_navps.dat realise avec succes !

C:\WINDOWS\system32\ethajaqdm_navps.dat supprimé !

 

C:\WINDOWS\prefetch\ethajaqdm*.pf trouvé !

Copie C:\WINDOWS\prefetch\ethajaqdm*.pf realise avec succes !

C:\WINDOWS\prefetch\ethajaqdm*.pf supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\MessengerSkinner ...suppression...

C:\Program Files\MessengerSkinner supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Famille\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Famille\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre realise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

C:\WINDOWS\System32\mhdhjmoq.dat trouvé !

Copie C:\WINDOWS\system32\mhdhjmoq.dat realise avec succes !

C:\WINDOWS\system32\mhdhjmoq.dat supprimé !

 

**

***

****

C:\WINDOWS\System32\mhdhjmoq_navps.dat trouvé !

Copie C:\WINDOWS\system32\mhdhjmoq_navps.dat realise avec succes !

C:\WINDOWS\system32\mhdhjmoq_navps.dat supprimé !

 

*****

C:\WINDOWS\System32\mhdhjmoq_nav.dat trouvé !

Copie C:\WINDOWS\system32\mhdhjmoq_nav.dat realise avec succes !

C:\WINDOWS\system32\mhdhjmoq_nav.dat supprimé !

 

******

*******

********

C:\WINDOWS\System32\mhdhjmoq.exe trouvé !

Copie C:\WINDOWS\system32\mhdhjmoq.exe realise avec succes !

C:\WINDOWS\system32\mhdhjmoq.exe supprimé !

 

 

*** Nettoyage termine le 08/05/2007 à 10:24:47,84 ***

 

 

 

Voila.

Par contre, en suivant la procédure, le nom que j'ai saisi comme spyware à supprimer n'était pas "mhdhjmoq" comme tu l'indiquais, mais "ethajaqdm".

Comment savoir si la procédure à complètement fonctionné ?

doit je refaire un rapport avec HiJackThis ?

Il semble tout de même qu'il n'y a plus de pop-up qui s'ouvrent..C'est déjà un bon début ! :P

 

Merci d'avance.

 

Freb.

freboliv Junior Member

freboliv

Posté(e)
  • Auteur
Posté(e)

Re Salut,

 

J'ai fait aussi maintenant un scan complet el ligne sur le site de Kapersky, voici ci-dessous le résultat du log :

 

 

-------------------------

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, May 08, 2007 2:02:26 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 8/05/2007

Enregistrements dans la base antivirus Kaspersky : 315390

Paramètres d'analyse

Analyser avec la base antivirus suivante étendue

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

Statistiques de l'analyse

Total d'objets analysés 52259

Nombre de virus trouvés 8

Nombre d'objets infectés 23 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:44:44

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\All Users\Application Data\less joy regs aim\1active.exe Infecté : not-a-virus:AdWare.Win32.Lop.bb ignoré

C:\Documents and Settings\All Users\Application Data\less joy regs aim\bait 16.exe Infecté : not-a-virus:AdWare.Win32.Lop.bb ignoré

C:\Documents and Settings\All Users\Application Data\less joy regs aim\Find plan.exe Infecté : not-a-virus:AdWare.Win32.Lop.bb ignoré

C:\Documents and Settings\All Users\Application Data\less joy regs aim\Mfcdthird.exe Infecté : not-a-virus:AdWare.Win32.Lop.bb ignoré

C:\Documents and Settings\All Users\Application Data\less joy regs aim\SizeSettings.exe Infecté : not-a-virus:AdWare.Win32.Lop.bb ignoré

C:\Documents and Settings\All Users\Application Data\less joy regs aim\TransAxis.exe Infecté : not-a-virus:AdWare.Win32.Lop.bb ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\famille\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\famille\Bureau\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\famille\Bureau\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\famille\Bureau\SmitfraudFix.exe RarSFX: infecté - 2 ignoré

C:\Documents and Settings\famille\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\famille\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\famille\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\famille\Local Settings\Historique\History.IE5\MSHist012007050820070509\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\famille\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\famille\NtUser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Loïc\Application Data\errorsafefrenchnewreleaseinstall[1].exe Infecté : not-a-virus:Downloader.Win32.WinFixer.o ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\filesubmit\dmhpgof01ss.zip\NNWDAC638.EXE Infecté : not-a-virus:AdWare.Win32.NewDotNet ignoré

C:\Program Files\filesubmit\dmhpgof01ss.zip\VVSNInst.exe Infecté : not-a-virus:AdTool.Win32.WhenU.a ignoré

C:\RECYCLER\S-1-5-21-1606980848-1532298954-839522115-1010\Dc1.zip/FlashGet/fgf140.exe/WISE0018.BIN/cd_clint.dll Infecté : not-a-virus:AdWare.Win32.Cydoor ignoré

C:\RECYCLER\S-1-5-21-1606980848-1532298954-839522115-1010\Dc1.zip/FlashGet/fgf140.exe/WISE0018.BIN Infecté : not-a-virus:AdWare.Win32.Cydoor ignoré

C:\RECYCLER\S-1-5-21-1606980848-1532298954-839522115-1010\Dc1.zip/FlashGet/fgf140.exe Infecté : not-a-virus:AdWare.Win32.Cydoor ignoré

C:\RECYCLER\S-1-5-21-1606980848-1532298954-839522115-1010\Dc1.zip ZIP: infecté - 3 ignoré

C:\RECYCLER\S-1-5-21-1606980848-1532298954-839522115-1010\Dc2.exe Infecté : not-a-virus:AdWare.Win32.NewDotNet.e ignoré

C:\RECYCLER\S-1-5-21-1606980848-1532298954-839522115-1010\Dc3.exe Infecté : not-a-virus:AdWare.Win32.NewDotNet.e ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{FD07C633-5B74-42FF-A715-EB844FB3C8A4}\RP564\A0116359.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\System Volume Information\_restore{FD07C633-5B74-42FF-A715-EB844FB3C8A4}\RP564\A0116359.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\System Volume Information\_restore{FD07C633-5B74-42FF-A715-EB844FB3C8A4}\RP564\A0116359.exe RarSFX: infecté - 2 ignoré

C:\System Volume Information\_restore{FD07C633-5B74-42FF-A715-EB844FB3C8A4}\RP565\change.log L'objet est verrouillé ignoré

C:\WINDOWS\comsetup.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\FaxSetup.log L'objet est verrouillé ignoré

C:\WINDOWS\iis6.log L'objet est verrouillé ignoré

C:\WINDOWS\ntdtcsetup.log L'objet est verrouillé ignoré

C:\WINDOWS\setupact.log L'objet est verrouillé ignoré

C:\WINDOWS\setuperr.log L'objet est verrouillé ignoré

C:\WINDOWS\spupdsvc.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\six.exe Infecté : not-virus:Hoax.Win32.Renos.ff ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

Analyse terminée.

 

 

ici, le même log au format html :

http://o.narce.free.fr/images/rapportKaperskyAll.html

 

Voila, pouvez vous me dire si c'est ok, ou s'il y a encore des trucs qui trainent ?

Merci d'avance de votre aide.

 

Freb.

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Pas grave pour navilog1.

 

Sur HijackThis, coche ces lignes :

 

O2 - BHO: (no name) - {C7B0BBD2-6893-880C-BEC6-4FEF57239E1A} - C:\DOCUME~1\SOLNE~1\APPLIC~1\WARNCD~1\exitsend.exe (file missing)

O2 - BHO: (no name) - {C7B0BBD2-6893-880C-BEC6-4FEF57239E1A} - C:\DOCUME~1\SOLNE~1\APPLIC~1\WARNCD~1\exitsend.exe (file missing)

O4 - HKLM\..\Run: [sDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"

O4 - HKLM\..\Run: [WA6PV_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcwap.exe"

O4 - HKLM\..\Run: [mhdhjmoq] c:\windows\system32\mhdhjmoq.exe mhdhjmoq

 

--> clic sur fix checked

 

 

 

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

 

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

 

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

 

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

freboliv Junior Member

freboliv

Posté(e)
  • Auteur
Posté(e)

Bonsoir (hé oui déjà..),

 

J'ai donc fixé les lignes demandé avec HiJackThis, puis j'ai installé sur le bureau DiagHelp que j'ai decompressé sur le bureau, celui ci à cree un nouveau repertoire sur le bureau dans lequelr se trouve go.cmd .

Je l'ai lancé (go.cmd), le scan s'est accompli mais je n'ai pas eu besoin d'appuyer sur une touche (c'est normal ?).

 

Les fichiers catchme.txt et resultat.txt sont ci-dessous :

 

 

CATCH ME

------------

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-05-08 17:41:20

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HLinit = c:\program files\filesubmit\dmhpgof01ss.zip\hyperlinker.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????8

 

scanning hidden files ...

 

C:\Documents and Settings\Loïc\Local Settings\Application Data\Microsoft\Messenger\bobletroubadour@msn.com\SharingMetadata\mann90@hotmail.fr\DFSR\Staging\CS{5D819CB9-DF62-5C40-931D-2EE96B9C922B}1\10-{5D819CB9-DF62-5C40-931D-2EE96B9C922B}-v1-{7CFA08CE-DDD2-4B52-B536-AF53219D2E5F}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API

C:\Documents and Settings\Loïc\Local Settings\Application Data\Microsoft\Messenger\bobletroubadour@msn.com\SharingMetadata\marjorie-arc@hotmail.fr\DFSR\Staging\CS{6BDA6EE6-4BDE-E03B-E477-50E3D1BE6724}1\11-{6BDA6EE6-4BDE-E03B-E477-50E3D1BE6724}-v1-{7CFA08CE-DDD2-4B52-B536-AF53219D2E5F}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 2

 

 

 

 

 

 

le fichier RESULTAT.TXT

----------------------------

 

C:\WINDOWS\System32/drivers\ssmdrv.sys -->21/04/2007 13:06:08

C:\WINDOWS\System32/drivers\avipbb.sys -->21/04/2007 13:06:08

C:\WINDOWS\System32/drivers\avgntdd.sys -->21/04/2007 13:06:08

C:\WINDOWS\System32/drivers\avgntmgr.sys -->17/12/2006 12:52:19

C:\WINDOWS\System32/drivers\HPZius12.sys -->28/10/2005 02:24:30

C:\WINDOWS\System32/drivers\HPZipr12.sys -->28/10/2005 02:24:29

C:\WINDOWS\System32/drivers\HPZid412.sys -->28/10/2005 02:24:28

 

C:\WINDOWS\System32\spupdwxp.log -->08/05/2007 14:28:02

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->08/05/2007 11:11:13

C:\WINDOWS\System32\tmp.txt -->07/05/2007 20:57:21

C:\WINDOWS\System32\tmp.reg -->07/05/2007 20:57:21

C:\WINDOWS\System32\wpa.dbl -->07/05/2007 17:59:07

C:\WINDOWS\System32\crash.log -->01/05/2007 17:34:13

C:\WINDOWS\System32\sporder.dll -->14/04/2007 17:03:59

C:\WINDOWS\System32\PerfStringBackup.INI -->25/03/2007 11:12:53

C:\WINDOWS\System32\perfh00C.dat -->25/03/2007 11:12:53

C:\WINDOWS\System32\perfh009.dat -->25/03/2007 11:12:53

C:\WINDOWS\System32\perfc00C.dat -->25/03/2007 11:12:53

C:\WINDOWS\System32\perfc009.dat -->25/03/2007 11:12:53

C:\WINDOWS\System32\javaws.exe -->14/03/2007 02:04:46

C:\WINDOWS\System32\javacpl.cpl -->14/03/2007 02:04:46

C:\WINDOWS\System32\javaw.exe -->14/03/2007 00:31:28

C:\WINDOWS\System32\java.exe -->14/03/2007 00:31:24

C:\WINDOWS\System32\jupdate-1.5.0_11-b03.log -->14/02/2007 13:47:45

C:\WINDOWS\System32\sirenacm.dll -->19/01/2007 13:53:04

C:\WINDOWS\System32\FNTCACHE.DAT -->17/12/2006 12:20:18

C:\WINDOWS\System32\swxcacls.exe -->01/12/2006 06:20:32

C:\WINDOWS\System32\jupdate-1.5.0_09-b03.log -->14/11/2006 21:24:58

C:\WINDOWS\System32\six.exe -->09/10/2006 14:48:27

C:\WINDOWS\System32\vga121271.dll -->06/09/2006 19:07:04

C:\WINDOWS\System32\swreg.exe -->29/08/2006 19:43:54

C:\WINDOWS\System32\avsda.dll -->10/06/2006 21:51:44

 

C:\WINDOWS\wincmd.ini -->08/05/2007 17:40:22

C:\WINDOWS\WindowsUpdate.log -->08/05/2007 14:33:51

C:\WINDOWS.log -->08/05/2007 14:28:04

C:\WINDOWS\wiadebug.log -->08/05/2007 14:28:03

C:\WINDOWS\tsoc.log -->08/05/2007 14:28:03

C:\WINDOWS\ocgen.log -->08/05/2007 14:28:03

C:\WINDOWS\iis6.log -->08/05/2007 14:28:03

C:\WINDOWS\FaxSetup.log -->08/05/2007 14:28:03

C:\WINDOWS\medctroc.Log -->08/05/2007 14:28:02

C:\WINDOWS\wiaservc.log -->08/05/2007 14:28:01

C:\WINDOWS\bootstat.dat -->08/05/2007 14:27:46

C:\WINDOWS\SchedLgU.Txt -->08/05/2007 12:06:03

C:\WINDOWS\ntbtlog.txt -->08/05/2007 10:20:44

C:\WINDOWS\spupdsvc.log -->06/05/2007 20:19:05

C:\WINDOWS\setupapi.log -->06/05/2007 10:59:55

 

C:\WINDOWS\IsUn040c.exe |13/05/2005 22:24:30

C:\WINDOWS\IsUninst.exe |13/05/2005 20:57:06

C:\WINDOWS\iun6002.exe |26/05/2006 13:25:06

C:\WINDOWS\LOGI_MWX.EXE |13/05/2005 20:51:17

C:\WINDOWS\movexe.exe |06/09/2006 18:58:17

C:\WINDOWS\novc.exe |26/05/2006 13:51:13

C:\WINDOWS\slrundll.exe |13/05/2005 21:24:05

C:\WINDOWS\SOUNDMAN.EXE |13/05/2005 21:01:02

C:\WINDOWS\twunk_16.exe |28/08/2001 12:00:00

C:\WINDOWS\twunk_32.exe |28/08/2001 12:00:00

C:\WINDOWS\unin040c.exe |30/04/2006 13:57:00

C:\WINDOWS\UninstallFirefox.exe |13/05/2005 21:46:00

C:\WINDOWS\UninstallThunderbird.exe |13/05/2005 21:48:49

C:\WINDOWS\UninstallWSST.exe |01/01/2006 21:20:39

C:\WINDOWS\UNISTB32.EXE |13/03/1998 00:02:00

C:\WINDOWS\unvise32.exe |13/05/2005 22:07:01

C:\WINDOWS\_MSRSTRT.EXE |09/11/2006 19:11:34

C:\WINDOWS\DTDraw.dll |26/05/2006 13:54:27

C:\WINDOWS\twain.dll |28/08/2001 12:00:00

C:\WINDOWS\twain_32.dll |28/08/2001 12:00:00

C:\WINDOWS\Twunk_16.dll |30/07/2004 00:04:42

C:\WINDOWS\Twunk_32.dll |30/07/2004 00:04:42

C:\WINDOWS\system32\append.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\ati2evxx.exe |10/06/2004 16:44:56

C:\WINDOWS\system32\Ati2mdxx.exe |10/06/2004 16:47:00

C:\WINDOWS\system32\ati2sgag.exe |13/05/2005 21:09:03

C:\WINDOWS\system32\daila.exe |06/04/2007 19:31:58

C:\WINDOWS\system32\debug.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\dosx.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\dumphive.exe |07/05/2007 20:56:20

C:\WINDOWS\system32\dvdplay.exe |23/08/2001 19:47:34

C:\WINDOWS\system32\edlin.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\exe2bin.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\fastopen.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\FileOps.exe |06/09/2006 19:06:53

C:\WINDOWS\system32\HPZinw12.exe |30/08/2006 12:01:52

C:\WINDOWS\system32\HPZipm12.exe |30/08/2006 12:01:52

C:\WINDOWS\system32\java.exe |08/05/2007 11:11:13

C:\WINDOWS\system32\javaw.exe |08/05/2007 11:11:13

C:\WINDOWS\system32\javaws.exe |08/05/2007 11:11:13

C:\WINDOWS\system32\LVComS.exe |25/12/2005 11:27:49

C:\WINDOWS\system32\mem.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\mscdexnt.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\NeroCheck.exe |14/05/2005 11:07:18

C:\WINDOWS\system32\nlsfunc.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\redir.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\RTLCPL.EXE |13/05/2005 21:01:05

C:\WINDOWS\system32\setver.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\share.exe |28/08/2001 12:00:00

C:\WINDOWS\system32\six.exe |09/10/2006 14:48:27

C:\WINDOWS\system32\slrundll.exe |13/05/2005 21:24:07

C:\WINDOWS\system32\slserv.exe |13/05/2005 21:24:07

C:\WINDOWS\system32\SrchSTS.exe |07/05/2007 20:56:20

C:\WINDOWS\system32\ssconfig.exe |01/01/2006 21:20:39

C:\WINDOWS\system32\swreg.exe |07/05/2007 20:56:20

C:\WINDOWS\system32\swsc.exe |07/05/2007 20:56:20

C:\WINDOWS\system32\swxcacls.exe |07/05/2007 20:56:20

C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\usrprbda.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\usrshuta.exe |23/08/2001 19:47:48

C:\WINDOWS\system32\a3d.dll |13/05/2005 21:01:07

C:\WINDOWS\system32\amstream.dll |13/05/2005 21:09:33

C:\WINDOWS\system32\ati2cqag.dll |10/06/2004 15:25:26

C:\WINDOWS\system32\ati2dvaa.dll |13/05/2005 21:24:11

C:\WINDOWS\system32\ati2dvag.dll |10/06/2004 16:57:24

C:\WINDOWS\system32\ati2edxx.dll |10/06/2004 16:46:52

C:\WINDOWS\system32\ati2evxx.dll |10/06/2004 16:46:34

C:\WINDOWS\system32\ati3d1ag.dll |13/05/2005 21:24:11

C:\WINDOWS\system32\ati3duag.dll |10/06/2004 16:31:30

C:\WINDOWS\system32\ATIDDC.DLL |10/06/2004 16:44:28

C:\WINDOWS\system32\ATIDEMGR.dll |13/05/2005 21:09:00

C:\WINDOWS\system32\atiiiexx.dll |13/05/2005 21:09:01

C:\WINDOWS\system32\atioglxx.dll |10/06/2004 17:43:20

C:\WINDOWS\system32\atipdlxx.dll |10/06/2004 16:47:28

C:\WINDOWS\system32\atitvo32.dll |10/06/2004 15:35:48

C:\WINDOWS\system32\ativcoxx.dll |09/11/2001 05:01:04

C:\WINDOWS\system32\ativtmxx.dll |13/05/2005 21:24:11

C:\WINDOWS\system32\ativvaxx.dll |10/06/2004 15:51:36

C:\WINDOWS\system32\atmfd.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\atmlib.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\Audio3D.dll |13/05/2005 21:01:07

C:\WINDOWS\system32\avcodec.dll |12/02/2007 18:38:59

C:\WINDOWS\system32\avsda.dll |30/01/2006 20:37:27

C:\WINDOWS\system32\BASS.DLL |18/02/2006 01:35:32

C:\WINDOWS\system32\btfunc.dll |31/10/2005 20:02:38

C:\WINDOWS\system32\btinstall.dll |21/09/2004 19:18:40

C:\WINDOWS\system32\cncs32.dll |18/02/2006 01:35:32

C:\WINDOWS\system32\COMNCTR.DLL |13/05/2005 20:51:19

C:\WINDOWS\system32\compatui.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\DBCLIENT.DLL |06/09/2006 19:02:18

C:\WINDOWS\system32\dgrpsetu.dll |14/05/2005 01:43:22

C:\WINDOWS\system32\dgsetup.dll |14/05/2005 01:43:22

C:\WINDOWS\system32\DivX.dll |22/09/2004 02:26:38

C:\WINDOWS\system32\divxdec_0407.dll |16/09/2004 22:23:48

C:\WINDOWS\system32\divxdec_040c.dll |16/09/2004 22:23:48

C:\WINDOWS\system32\divxdec_0411.dll |22/09/2004 20:35:53

C:\WINDOWS\system32\divx_xx07.dll |16/09/2004 22:23:47

C:\WINDOWS\system32\divx_xx0c.dll |16/09/2004 22:23:48

C:\WINDOWS\system32\divx_xx11.dll |22/09/2004 02:26:28

C:\WINDOWS\system32\dpu10.dll |16/09/2004 22:24:24

C:\WINDOWS\system32\dpuGUI10.dll |16/09/2004 22:24:24

C:\WINDOWS\system32\dpus10.dll |16/09/2004 22:24:25

C:\WINDOWS\system32\dpv10.dll |16/09/2004 22:24:25

C:\WINDOWS\system32\encdec.dll |13/05/2005 21:24:10

C:\WINDOWS\system32\EqnClass.Dll |14/05/2005 01:43:22

C:\WINDOWS\system32\fun_mp4_enc.dll |12/02/2007 18:38:59

C:\WINDOWS\system32\GEARAspi.dll |31/05/2005 10:20:36

C:\WINDOWS\system32\HPODXPAT.DLL |27/05/2004 16:00:52

C:\WINDOWS\system32\hpotscl2.dll |29/10/2005 00:11:19

C:\WINDOWS\system32\hpovst09.dll |29/10/2005 00:11:19

C:\WINDOWS\system32\hpowiax2.dll |29/10/2005 00:11:20

C:\WINDOWS\system32\HPTcpMib.dll |15/04/2005 09:58:18

C:\WINDOWS\system32\HPTcpMon.dll |15/04/2005 09:59:08

C:\WINDOWS\system32\HPZc3212.dll |28/10/2005 02:23:03

C:\WINDOWS\system32\hpzcoi05.dll |17/05/2002 21:49:32

C:\WINDOWS\system32\hpzcon05.dll |17/05/2002 21:49:32

C:\WINDOWS\system32\HPZidr12.dll |30/08/2006 12:01:52

C:\WINDOWS\system32\hpzids01.dll |30/08/2006 12:03:07

C:\WINDOWS\system32\HPZipr12.dll |30/08/2006 12:01:52

C:\WINDOWS\system32\HPZipt12.dll |30/08/2006 12:01:52

C:\WINDOWS\system32\HPZisn12.dll |30/08/2006 12:01:52

C:\WINDOWS\system32\hpzjfw01.dll |27/01/2004 10:56:20

C:\WINDOWS\system32\hpzjrd01.dll |06/04/2005 12:46:32

C:\WINDOWS\system32\hpzjsn01.dll |10/09/2005 00:28:03

C:\WINDOWS\system32\hpzll43a.dll |30/08/2006 12:03:09

C:\WINDOWS\system32\hsfcisp2.dll |13/05/2005 21:24:10

C:\WINDOWS\system32\hticons.dll |13/05/2005 18:44:34

C:\WINDOWS\system32\hypertrm.dll |13/05/2005 18:44:34

C:\WINDOWS\system32\Iacenc.dll |18/11/1998 16:33:16

C:\WINDOWS\system32\iccvid.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\ieencode.dll |13/05/2005 21:24:10

C:\WINDOWS\system32\ifc21.dll |13/05/2005 20:51:19

C:\WINDOWS\system32\imagr5.dll |13/05/2005 21:49:42

C:\WINDOWS\system32\imagx5.dll |13/05/2005 21:49:42

C:\WINDOWS\system32\ImagX7.dll |14/05/2005 11:07:18

C:\WINDOWS\system32\ImagXpr5.dll |13/05/2005 21:49:42

C:\WINDOWS\system32\ImagXpr7.dll |14/05/2005 11:07:18

C:\WINDOWS\system32\ImagXR7.dll |14/05/2005 11:07:18

C:\WINDOWS\system32\ImagXRA7.dll |14/05/2005 11:07:18

C:\WINDOWS\system32\indounin.dll |27/01/1999 14:39:06

C:\WINDOWS\system32\ir32_32.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\IR41_32.DLL |05/03/2006 19:51:41

C:\WINDOWS\system32\ir41_qc.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\ir41_qcx.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\ir50_32.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\ir50_qc.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\ir50_qcx.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\isrdbg32.dll |13/05/2005 18:45:39

C:\WINDOWS\system32\Iyvu9_32.dll |13/06/1997 08:56:08

C:\WINDOWS\system32\jgaw400.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\jgdw400.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\jgmd400.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\jgpl400.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\jgsd400.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\jgsh400.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\LCamCpl.dll |12/02/2004 17:58:26

C:\WINDOWS\system32\LCoInst.Dll |13/05/2005 20:51:17

C:\WINDOWS\system32\lfbmp12n.dll |12/02/2004 17:13:52

C:\WINDOWS\system32\Lfcmp12n.dll |12/02/2004 17:13:52

C:\WINDOWS\system32\lffax12n.dll |12/02/2004 17:13:52

C:\WINDOWS\system32\lftif12n.dll |12/02/2004 17:13:52

C:\WINDOWS\system32\LGUICOM.DLL |13/05/2005 20:51:19

C:\WINDOWS\system32\lmoufrc.dll |13/05/2005 20:51:17

C:\WINDOWS\system32\LMOUSE16.DLL |13/05/2005 20:51:19

C:\WINDOWS\system32\LMOUSE32.DLL |13/05/2005 20:51:19

C:\WINDOWS\system32\LQCUI2.dll |12/02/2004 17:33:32

C:\WINDOWS\system32\Ltdis12n.dll |12/02/2004 17:13:54

C:\WINDOWS\system32\Ltefx12n.dll |12/02/2004 17:13:54

C:\WINDOWS\system32\Ltfil12n.dll |12/02/2004 17:13:54

C:\WINDOWS\system32\Ltimg12n.dll |12/02/2004 17:13:54

C:\WINDOWS\system32\Ltkrn12n.dll |12/02/2004 17:13:56

C:\WINDOWS\system32\Ltwvc12n.dll |12/02/2004 17:13:58

C:\WINDOWS\system32\lvcodec2.dll |25/12/2005 11:27:49

C:\WINDOWS\system32\lvcoinst.dll |25/12/2005 11:27:49

C:\WINDOWS\system32\LVComC.dll |25/12/2005 11:27:49

C:\WINDOWS\system32\Lvkrn12n.dll |12/02/2004 17:14:00

C:\WINDOWS\system32\LVUI2.dll |25/12/2005 11:27:49

C:\WINDOWS\system32\LVUI2RC.dll |25/12/2005 11:27:49

C:\WINDOWS\system32\mdmxsdk.dll |13/05/2005 21:24:09

C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 19:47:06

C:\WINDOWS\system32\mp4_vcodec.dll |12/02/2007 18:38:59

C:\WINDOWS\system32\msdmo.dll |13/05/2005 21:09:33

C:\WINDOWS\system32\msencode.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\MsgPlusLoader.dll |25/06/2005 19:21:43

C:\WINDOWS\system32\mtxparhd.dll |13/05/2005 21:24:08

C:\WINDOWS\system32\Npindeo.dll |20/11/1998 14:38:58

C:\WINDOWS\system32\nv4_disp.dll |13/05/2005 21:24:08

C:\WINDOWS\system32\Oemdspif.dll |10/06/2004 16:47:12

C:\WINDOWS\system32\Ole6761543111c.dll |11/04/2005 19:34:30

C:\WINDOWS\system32\paqsp.dll |23/08/2001 19:47:16

C:\WINDOWS\system32\picn20.dll |13/05/2005 21:49:43

C:\WINDOWS\system32\pncrt.dll |13/05/2005 22:08:12

C:\WINDOWS\system32\pndx5016.dll |13/05/2005 22:08:12

C:\WINDOWS\system32\pndx5032.dll |13/05/2005 22:08:12

C:\WINDOWS\system32\PSIKey.dll |16/09/2004 22:23:53

C:\WINDOWS\system32\psisdecd.dll |13/05/2005 21:09:34

C:\WINDOWS\system32\QCUI2.dll |12/02/2004 17:34:28

C:\WINDOWS\system32\qedwipes.dll |13/05/2005 21:09:33

C:\WINDOWS\system32\qt-mt331.dll |16/09/2004 22:24:26

C:\WINDOWS\system32\rmoc3260.dll |13/05/2005 22:08:12

C:\WINDOWS\system32\RTLCPAPI.dll |13/05/2005 21:01:07

C:\WINDOWS\system32\s3gnb.dll |13/05/2005 21:24:07

C:\WINDOWS\system32\sbe.dll |13/05/2005 21:24:07

C:\WINDOWS\system32\slbcsp.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\slbiop.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\slbrccsp.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\slcoinst.dll |13/05/2005 21:24:07

C:\WINDOWS\system32\slextspk.dll |13/05/2005 21:24:07

C:\WINDOWS\system32\slgen.dll |13/05/2005 21:24:07

C:\WINDOWS\system32\spnike.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio600.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\sprio800.dll |23/08/2001 19:47:18

C:\WINDOWS\system32\spxcoins.dll |14/05/2005 01:43:22

C:\WINDOWS\system32\tsd32.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\TwnLib20.dll |14/05/2005 11:07:19

C:\WINDOWS\system32\UnzDll.dll |06/09/2006 19:06:39

C:\WINDOWS\system32\usrcntra.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrcoina.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdpa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrdtea.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrlbva.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv42a.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrv80a.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvoica.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\usrvpa.dll |23/08/2001 19:47:20

C:\WINDOWS\system32\vga121271.dll |06/09/2006 19:07:04

C:\WINDOWS\system32\vp6vfw.dll |16/04/2006 12:33:48

C:\WINDOWS\system32\win87em.dll |28/08/2001 12:00:00

C:\WINDOWS\system32\xvidcore.dll |16/01/2005 11:47:48

C:\WINDOWS\system32\xvidvfw.dll |16/01/2005 11:49:50

C:\WINDOWS\system32\ZipDll.dll |06/09/2006 19:06:40

 

Le volume dans le lecteur C s'appelle disk

Le numéro de série du volume est A85B-D15A

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 16:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 25 461 141 504 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle disk

Le numéro de série du volume est A85B-D15A

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

18/04/2007 13:17 <REP> .

18/04/2007 13:17 <REP> ..

18/04/2006 16:04 159 040 AdSignerADP.dll

13/04/2006 10:11 747 AdSignerADP.inf

18/04/2006 16:04 273 728 AdVerifierADP.dll

13/05/2005 18:46 65 desktop.ini

07/06/2006 12:09 1 249 erma.inf

09/06/2003 15:18 234 FileSharingCtrl.inf

14/08/2003 11:14 223 832 fsmsngr-fr.dll

08/08/2006 11:45 576 kavwebscan.inf

29/05/2003 15:00 160 864 messengerstatsclient.dll

09/10/2003 10:32 144 QTPlugin.inf

09/11/2006 15:36 5 019 swflash.inf

26/05/2005 04:19 291 wuweb.inf

12 fichier(s) 825 789 octets

 

Total des fichiers listés :

12 fichier(s) 825 789 octets

2 Rép(s) 25 461 137 408 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

 

 

 

 

 

 

VOILA.

Merci encore une fois de ton aide, j'attends la suite :P

 

Freb.

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Le rapport n'est pas entier...

Merci de suivre les instructions et appuyer sur la touche entrée au moment où cela t'es demandé...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...