Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Msn , Office se ferment seuls [RESOLU]

turhan

Par turhan
dans Analyses et éradication malwares

 Partager

Messages recommandés

turhan Junior Member

turhan

Posté(e)
  • Auteur
Posté(e)

Juste après avoir posté le message , j'ai redémarré le PC pour voir s'il reviendrait au démarrage. C'est effectivement le cas. Après une recherche sur le PC , on a :

 

- nibble.exe dans C:\Windows

- nibble.exe.mwt dans C:\Windows

- NIBBLE.EXE-02551F7B.pf dans C:\Windows\Prefetch

- nibble.exe.mwt dans C:\_OTMOVEIT\MOVEDFILES\Windows

- nibble[1].exe.mwt dans C:\_OTMoveIt\MovedFiles\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V

 

Voici les résultats du scan :

 

2007-10-02,15:38:05

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional  (Build 2600) - Administrative User - Completed Functions Allowed

Follow item(s) have been choosed:
All Boot Items (Including Registry, Startup Folders, Services and so on)
Browser Add-ons
Runing Processes (Including process model information)
File Associations
Winsock Provider
Autorun.Inf
HOSTS File
Process Privileges Scan


Boot Items
Registry
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<QuickTime Task><"C:\Program Files\QuickTime\qttask.exe" -atboottime>  [Apple Computer, Inc.]
<avgnt><"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min>  [Avira GmbH]
<Zone Labs Client><"C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe">  [(Verified)Check Point Software Technologies Ltd.]
<ZoneAlarm Client><"C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe">  [(Verified)Check Point Software Technologies Ltd.]
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup>  [NVIDIA Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><c:\windows\explorer.exe>  [(Verified)Microsoft Windows XP Publisher (Europe)]
<Userinit><c:\windows\system32\userinit.exe>  [(Verified)Microsoft Windows XP Publisher (Europe)]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
<Lecteur Windows Media Microsoft 6.4><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT>  [(Verified)Microsoft Windows XP Publisher (Europe)]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows XP Publisher (Europe)]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.0><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUser>  [(Verified)Microsoft Windows XP Publisher (Europe)]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player 8><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub>  [(Verified)Microsoft Windows XP Publisher (Europe)]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<Carnet d'adresses 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]

==================================
Startup Folders
N/A

==================================
Services
[AntiVir PersonalEdition Classic Scheduler / AntiVirScheduler][Running/Auto Start]
 <"C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"><Avira GmbH>
[AntiVir PersonalEdition Classic Guard / AntiVirService][Running/Auto Start]
 <"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"><Avira GmbH>
[Symantec Settings Manager / ccSetMgr][Stopped/Disabled]
 <"C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"><Symantec Corporation>
[Symantec AntiVirus Definition Watcher / DefWatch][Stopped/Disabled]
 <><N/A>
[nTune Service / nTuneService][Running/Auto Start]
 <C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe /StartService><NVIDIA>
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
 <C:\WINDOWS\System32\nvsvc32.exe><NVIDIA Corporation>
[SavRoam / SavRoam][Stopped/Disabled]
 <><N/A>
[Symantec Network Drivers Service / SNDSrvc][Stopped/Disabled]
 <"C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe"><Symantec Corporation>
[Symantec AntiVirus / Symantec AntiVirus][Stopped/Disabled]
 <><N/A>
[Service Messenger Sharing Folders USN Journal Reader / usnjsvc][Stopped/Manual Start]
 <><N/A>
[TrueVector Internet Monitor / vsmon][Running/Auto Start]
 <C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service><Zone Labs, LLC>

==================================
Drivers
[atitray / atitray][Stopped/System Start]
 <\??\C:\Program Files\Radeon Omega Drivers\v3.8.360\ATI Tray Tools\atitray.sys><N/A>
[avgntdd / avgntdd][Running/System Start]
 <SYSTEM32\DRIVERS\avgntdd.sys><Avira GmbH>
[avgntmgr / avgntmgr][Running/Boot Start]
 <\SystemRoot\SYSTEM32\DRIVERS\avgntmgr.sys><Avira GmbH>
[avipbb / avipbb][Running/System Start]
 <System32\DRIVERS\avipbb.sys><AVIRA GmbH>
[KLIF / KLIF][Stopped/Manual Start]
 <\??\C:\WINDOWS\system32\ZoneLabs\avsys\KLIF.SYS><Kaspersky Lab>
[NAVENG / NAVENG][Stopped/Manual Start]
 <\??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20070730.016\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15][Stopped/Manual Start]
 <\??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20070730.016\navex15.sys><Symantec Corporation>
[nv / nv][Running/Manual Start]
 <System32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Service for NVIDIA(R) nForce(TM) Audio Enumerator / nvax][Running/Manual Start]
 <system32\drivers\nvax.sys><NVIDIA Corporation>
[Service for NVIDIA(R) nForce(TM) Audio / nvnforce][Running/Manual Start]
 <system32\drivers\nvapu.sys><NVIDIA Corporation>
[NVR0Dev / NVR0Dev][Running/Manual Start]
 <\??\C:\WINDOWS\nvoclock.sys><NVidia Corp.>
[Pilote de liaison parallèle directe / Ptilink][Running/Manual Start]
 <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20][Running/Boot Start]
 <\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[Pilote NT de carte Realtek PCI Ethernet à base RTL8029(AS) / rtl8029][Stopped/Manual Start]
 <System32\DRIVERS\RTL8029.SYS><Realtek Semiconductor Corporation>
[SAVRT / SAVRT][Stopped/Manual Start]
 <\??\C:\Program Files\Symantec AntiVirus\savrt.sys><N/A>
[SAVRTPEL / SAVRTPEL][Stopped/Auto Start]
 <\??\C:\Program Files\Symantec AntiVirus\Savrtpel.sys><N/A>
[Secdrv / Secdrv][Stopped/Manual Start]
 <System32\DRIVERS\secdrv.sys><N/A>
[srescan / srescan][Running/Boot Start]
 <\SystemRoot\System32\ZoneLabs\srescan.sys><Zone Labs, LLC>
[ssmdrv / ssmdrv][Running/System Start]
 <System32\DRIVERS\ssmdrv.sys><Avira GmbH>
[SYMREDRV / SYMREDRV][Stopped/Manual Start]
 <\SystemRoot\System32\Drivers\SYMREDRV.SYS><Symantec Corporation>
[SYMTDI / SYMTDI][Running/System Start]
 <\SystemRoot\System32\Drivers\SYMTDI.SYS><Symantec Corporation>
[TVICHW32 / TVICHW32][Stopped/Manual Start]
 <\??\C:\WINDOWS\System32\DRIVERS\TVICHW32.SYS><EnTech Taiwan>
[vsdatant / vsdatant][Running/System Start]
 <System32\vsdatant.sys><Zone Labs, LLC>
[NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter / yukonwxp][Running/Manual Start]
 <System32\DRIVERS\yukonwxp.sys><Marvell Semiconductor Inc.>

==================================
Browser Add-ons
[CKAVWebScan Object]
 {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} <C:\WINDOWS\System32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll, Kaspersky Lab>
[Checkers Class]
 {20A60F0D-9AFA-4515-A0FD-83BD84642501} <C:\WINDOWS\Downloaded Program Files\msgrchkr.dll, Microsoft Corporation>
[WUWebControl Class]
 {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\System32\wuweb.dll, Microsoft Corporation>
[Shockwave Flash Object]
 {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>

==================================
Running Processes
[PID: 580 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 660 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.149 (xpclnt_qfe.021108-2107)]
[C:\WINDOWS\nview.dll]  [N/A, ]
[C:\WINDOWS\system32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 716 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 728 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 912 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1012 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\System32\WINHTTP.dll]  [Microsoft Corporation, 5.1.2600.1557 (xpsp2_gdr.040517-1325)]
[PID: 1100 / SERVICE LOCAL][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1916 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\system32\E_FLBBIE.DLL]  [SEIKO EPSON CORPORATION, 1, 5, 0, 0]
[PID: 1956 / SYSTEM][C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe]  [Avira GmbH, 7.00.00.81]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.dll]  [Avira GmbH, 7.00.00.01]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\avevtlog.dll]  [Avira GmbH, 7.00.00.20]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\guardmsg.dll]  [Avira GmbH, 7.00.11.00]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\sqlite3.dll]  [, 3, 3, 17, 1]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\AVPREF.DLL]  [Avira GmbH, 7.00.02.02]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\SMTPLIB.DLL]  [Avira GmbH, 1.02.00.17]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\AVPACK32.DLL]  [Avira GmbH, 7.03.00.15]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\unacev2.dll]  [N/A, ]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\AVEWIN32.DLL]  [Avira GmbH, 7.6.0.18]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\avipc.dll]  [Avira GmbH, 1.00.00.04]
[PID: 204 / SERVICE LOCAL][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 196 / SYSTEM][C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe]  [Avira GmbH, 7.00.00.62]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\schedr.dll]  [Avira GmbH, 7.00.24.00]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\avevtlog.dll]  [Avira GmbH, 7.00.00.20]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\sqlite3.dll]  [, 3, 3, 17, 1]
[PID: 256 / SYSTEM][C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe]  [NVIDIA, 5.05.25]
[C:\WINDOWS\system32\MFC71.DLL]  [Microsoft Corporation, 7.10.3077.0]
[C:\WINDOWS\system32\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\NVIDIA Corporation\nTune\nTuneServiceENU.dll]  [NVIDIA, 5.05.25]
[C:\WINDOWS\system32\nvapi.dll]  [N/A, ]
[PID: 272 / SYSTEM][C:\WINDOWS\System32\nvsvc32.exe]  [NVIDIA Corporation, 6.14.10.9424]
[C:\WINDOWS\System32\nvapi.dll]  [N/A, ]
[PID: 624 / Turhan][c:\windows\explorer.exe]  [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[C:\Program Files\Combined Community Codec Pack\Filters\Haali\mmfinfo.dll]  [N/A, ]
[C:\Program Files\Combined Community Codec Pack\Filters\Haali\mkunicode.dll]  [N/A, ]
[C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll]  [Adobe Systems, Inc., 8.0.0.0]
[C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA]  [Adobe Systems, Inc., 8.0.0.0]
[C:\Program Files\Microsoft Office\Office\soa800.dll]  [Microsoft Corporation, 8.000.3501]
[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
[C:\Program Files\EPSON\Creativity Suite\Easy Photo Print\EPPShell.dll]  [SEIKO EPSON CORPORATION, 1, 0, 0, 0]
[C:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll]  [Zone Labs, LLC, 7.0.337.000]
[C:\Program Files\Zone Labs\ZoneAlarm\zlavscan_Loc040c.dll]  [Zone Labs Inc., 5.3.017.000]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll]  [Avira GmbH, 7.00.00.10]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL]  [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll]  [Symantec Corporation, 9.0.0.338]
[PID: 1236 / Turhan][C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe]  [Avira GmbH, 7.02.00.13]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL]  [Microsoft Corporation, 7.10.3077.0]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll]  [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\cclib.dll]  [Avira GmbH, 7.02.00.03]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCP71.dll]  [Microsoft Corporation, 7.10.3077.0]
[c:\program files\avira\antivir personaledition classic\ccgen.dll]  [Avira GmbH, 7.02.00.10]
[c:\program files\avira\antivir personaledition classic\ccgenrc.dll]  [Avira GmbH, 7.02.04.02]
[c:\program files\avira\antivir personaledition classic\ccguard.dll]  [Avira GmbH, 7.00.01.34]
[c:\program files\avira\antivir personaledition classic\ccgrdrc.dll]  [Avira GmbH, 7.00.06.00]
[C:\Program Files\Avira\AntiVir PersonalEdition Classic\avipc.dll]  [Avira GmbH, 1.00.00.04]
[c:\program files\avira\antivir personaledition classic\ccupdate.dll]  [Avira GmbH, 7.02.00.04]
[c:\program files\avira\antivir personaledition classic\ccupdrc.dll]  [Avira GmbH, 7.02.01.00]
[c:\program files\avira\antivir personaledition classic\cclic.dll]  [Avira GmbH, 7.02.00.04]
[c:\program files\avira\antivir personaledition classic\cclicrc.dll]  [Avira GmbH, 7.02.01.00]
[c:\program files\avira\antivir personaledition classic\ccmsg.dll]  [Avira GmbH, 7.00.00.00]
[PID: 1284 / Turhan][C:\Program Files\MSN Messenger\msnmsgr.exe]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\MSNCore.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\msidcrl40.dll]  [Microsoft Corporation, 4.100.313.1]
[C:\Program Files\MSN Messenger\ContactsUX.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\msgslang.8.1.0178.00.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\msgsres.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\lcapi.dll]  [Microsoft Corporation, 1.7.256.0 (RTC Version 4.3.5371.0) built by: msn8.0(rtbldlab)]
[C:\WINDOWS\System32\msdmo.dll]  [, ]
[C:\Program Files\MSN Messenger\lcres.dll]  [Microsoft Corp., 1.7.109.0 (RTC Version 4.3.5371.0) built by: msn8.0(rtbldlab)]
[C:\Program Files\MSN Messenger\RTMPLTFM.dll]  [Microsoft Corporation, 3.0.5774.0 built by: media_msn80]
[C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[C:\Program Files\MSN Messenger\MSGSWCAM.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\WINDOWS\System32\sirenacm.dll]  [Microsoft Corp., 8.1.0178.00]
[C:\Program Files\MSN Messenger\lmcdata.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\dfsr.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\abssm.dll]  [Microsoft Corporation, 8.1.0178.00]
[C:\Program Files\MSN Messenger\custsat.dll]  [Microsoft Corporation, 9.0.3790.2428 (srv03_sp1_qfe.050422-1043)]
[C:\Program Files\MSN Messenger\contact.dll]  [Microsoft Corporation, 8.1.0178.00]
[PID: 2052 / Turhan][C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe]  [ , 4, 9, 1, 8211]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\crsrpt.dll]  [, 4, 9, 1, 8211]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\DBGHELP.dll]  [Microsoft Corporation, 6.3.0005.1 (DbgBuild.030922-1449)]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\MSVCP70.dll]  [Microsoft Corporation, 7.00.9466.0]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\MSVCR70.dll]  [Microsoft Corporation, 7.00.9466.0]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mtdsdk.dll]  [N/A, ]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\resources\mbzafra.dll]  [N/A, ]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[PID: 2252 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 564 / Turhan][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx]  [Adobe Systems, Inc., 9,0,28,0]
[PID: 1460 / Turhan][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx]  [Adobe Systems, Inc., 9,0,28,0]
[PID: 2148 / Turhan][C:\Program Files\Microsoft Office\Office\excel.exe]  [, ]
[C:\Program Files\Microsoft Office\Office\MSO97.DLL]  [, ]
[C:\Program Files\Microsoft Office\Office\XLINTL32.dll]  [Microsoft Corporation, 8.0]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[C:\Program Files\Microsoft Office\Office\scanload.dll]  [, ]
[C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 2512 / SYSTEM][C:\WINDOWS\System32\msiexec.exe]  [Microsoft Corporation, 3.1.4000.1823]
[PID: 2532 / Turhan][C:\Documents and Settings\Turhan\Bureau\sreng2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
[C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mlfhook.dll]  [, 4, 9, 1, 8211]
[C:\Documents and Settings\Turhan\Bureau\sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]

==================================
File Associations
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock Provider
N/A

==================================
Autorun.Inf
N/A

==================================
HOSTS File
127.0.0.1 localhost

==================================
Process Privileges Scan
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 1956, C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE]
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 272, C:\WINDOWS\SYSTEM32\NVSVC32.EXE]
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 1236, C:\PROGRAM FILES\AVIRA\ANTIVIR PERSONALEDITION CLASSIC\AVGNT.EXE]
Special Privilege Enabled: SeLoadDriverPrivilege [PID = 2148, C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\EXCEL.EXE]

==================================
API HOOK
N/A

==================================
Hidden Process
N/A

==================================

 

Bien qu'il soit là , il ne termine plus les programmes (Messenger et Excell sont actifs depuis plus de 20 minutes)

 

Je reste à disposition pour de futures manipulations.

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

ok, il n'y a rien de plus dans le rapport posté.

On va retenter la suppression en ajoutant le fichier présent dans le Prefetch >

  • Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :
    C:\WINDOWS\nibble.exe
    C:\Windows\Prefetch\NIBBLE.EXE-02551F7B.pf
    C:\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe

  • Double-clique sur OTMoveIt.exe afin de lancer le programme.
  • Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  • Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
  • Clique à présent sur le bouton "MoveIt!".

Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\

Le nom du rapport est la date de sa création.

 

poste le rapport de OtMoveIt stp et constate après recherche si les fichiers sont encore présents :P

Lien vers le commentaire
Partager sur d’autres sites
turhan Junior Member

turhan

Posté(e)
  • Auteur
Posté(e)

Re ,

 

Ils ont bien été bougé par OT :

 

C:\WINDOWS\nibble.exe moved successfully.

C:\Windows\Prefetch\NIBBLE.EXE-02551F7B.pf moved successfully.

C:\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe moved successfully.

 

Created on 10/02/2007 16:13:14

 

Après la manipulation , redémarrage du pc , et ils sont de retour , à leur emplacement respectif.

 

a+

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

ok! on a reçu de l'aide pour ce problème de régénération d'infection : c'est plus compliqué que prevu :P

 

On va faire une recherche dans la base de registre stp >

 

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

  • dézippe dans un répertoire dédié tel que C:\Program Files
  • double clique sur RegSearch.exe
  • copie colle les entrées en bleu dans les lignes de la zone de recherche:
    (n'entre qu'un seul élément par ligne!)
    access.cni
    mwrem.cin

  • rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  • après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  • le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  • copie-colle le contenu de la fenêtre dans un post, ici
  • ferme le bloc-notes et ferme RegSearch par Cancel
  • Si la manipulation ne marche pas, entre les éléments un par un.

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
turhan Junior Member

turhan

Posté(e)
  • Auteur
Posté(e)

Re ,

 

voici le rapport Regsearch :

 

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.5.0

 

; Results at 03/10/2007 00:40:25 for strings:

; 'access.cni'

; 'mwrem.cin'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\1]

"Path"="C:\\WINDOWS\\help\\access.cni"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\2]

"Path"="C:\\WINDOWS\\help\\mwrem.cin"

 

; End Of The Log...

 

Il y a un fichier qui me rappelle quelque chose : Adaware et Antivir ont dénoté le fichier suivant comme Heur/Malware : C:\Windows\Help\access.cni cet après midi , il a été mis en quarantaine.

 

Je reste à disposition ,

 

Merci encore ^^

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

merci! je vais te demander aussi de faire la recherche avec Regsearch sur les éléments suivants >

  • double clique sur RegSearch.exe
  • copie colle les entrées en bleu dans les lignes de la zone de recherche:
    (n'entre qu'un seul élément par ligne!)
    nview.dll
    nibble.exe
    atmapi.sys

  • rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  • après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  • le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  • copie-colle le contenu de la fenêtre dans un post, ici
  • ferme le bloc-notes et ferme RegSearch par Cancel
  • Si la manipulation ne marche pas, entre les éléments un par un.

Lien vers le commentaire
Partager sur d’autres sites
turhan Junior Member

turhan

Posté(e)
  • Auteur
Posté(e)

Manipulation effectuée :

 

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.5.0

 

; Results at 03/10/2007 01:01:24 for strings:

; 'nview.dll'

; 'nibble.exe'

; 'atmapi.sys'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\nView.Profile\DefaultIcon]

@="C:\\WINDOWS\\System32\\nview.dll,18"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\nView.Profile\shell\open\command]

@="rundll32.exe nview.dll,nViewCmd loadprofile shell \"%1\""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"zwpInit_Dlls"="C:\\WINDOWS\\nview.dll"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\NVIDIA Corporation\Global\MediaCenterTray\nView.dll]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\NVIDIA Corporation\Global\MediaCenterTray\nView.dll]

"FullPath"="C:\\WINDOWS\\System32\\nview.dll"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}01\Uninstall]

; Contents of value:

; default.tvp,keystone.exe,nvappbar.exe,nvcolor.exe,nvdspsch.exe,nview.dll,nvshell.dll,nvtuicpl.cpl,nvwdmcpl.dll,nvwimg.dll,nwiz.exe,nvmccsrs.dll

; nvcpl.cpl,nvcplui.exe,nvcpluir.dll,nvexpbar.dll

; nvcpl.chm,nvdsp.chm,nv3d.chm,nvmob.chm

; nvapps.xml>nvapps.nvb

;

"CopyFiles"=hex(7):64,00,65,00,66,00,61,00,75,00,6c,00,74,00,2e,00,74,00,76,00,\

70,00,2c,00,6b,00,65,00,79,00,73,00,74,00,6f,00,6e,00,65,00,2e,00,65,00,78,\

00,65,00,2c,00,6e,00,76,00,61,00,70,00,70,00,62,00,61,00,72,00,2e,00,65,00,\

78,00,65,00,2c,00,6e,00,76,00,63,00,6f,00,6c,00,6f,00,72,00,2e,00,65,00,78,\

00,65,00,2c,00,6e,00,76,00,64,00,73,00,70,00,73,00,63,00,68,00,2e,00,65,00,\

78,00,65,00,2c,00,6e,00,76,00,69,00,65,00,77,00,2e,00,64,00,6c,00,6c,00,2c,\

00,6e,00,76,00,73,00,68,00,65,00,6c,00,6c,00,2e,00,64,00,6c,00,6c,00,2c,00,\

6e,00,76,00,74,00,75,00,69,00,63,00,70,00,6c,00,2e,00,63,00,70,00,6c,00,2c,\

00,6e,00,76,00,77,00,64,00,6d,00,63,00,70,00,6c,00,2e,00,64,00,6c,00,6c,00,\

2c,00,6e,00,76,00,77,00,69,00,6d,00,67,00,2e,00,64,00,6c,00,6c,00,2c,00,6e,\

00,77,00,69,00,7a,00,2e,00,65,00,78,00,65,00,2c,00,6e,00,76,00,6d,00,63,00,\

63,00,73,00,72,00,73,00,2e,00,64,00,6c,00,6c,00,00,00,6e,00,76,00,63,00,70,\

00,6c,00,2e,00,63,00,70,00,6c,00,2c,00,6e,00,76,00,63,00,70,00,6c,00,75,00,\

69,00,2e,00,65,00,78,00,65,00,2c,00,6e,00,76,00,63,00,70,00,6c,00,75,00,69,\

00,72,00,2e,00,64,00,6c,00,6c,00,2c,00,6e,00,76,00,65,00,78,00,70,00,62,00,\

61,00,72,00,2e,00,64,00,6c,00,6c,00,00,00,6e,00,76,00,63,00,70,00,6c,00,2e,\

00,63,00,68,00,6d,00,2c,00,6e,00,76,00,64,00,73,00,70,00,2e,00,63,00,68,00,\

6d,00,2c,00,6e,00,76,00,33,00,64,00,2e,00,63,00,68,00,6d,00,2c,00,6e,00,76,\

00,6d,00,6f,00,62,00,2e,00,63,00,68,00,6d,00,00,00,6e,00,76,00,61,00,70,00,\

70,00,73,00,2e,00,78,00,6d,00,6c,00,3e,00,6e,00,76,00,61,00,70,00,70,00,73,\

00,2e,00,6e,00,76,00,62,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}01\Uninstall]

; Contents of value:

; default.tvp,keystone.exe,nvappbar.exe,nvcolor.exe,nvdspsch.exe,nview.dll,nvshell.dll,nvtuicpl.cpl,nvwdmcpl.dll,nvwimg.dll,nwiz.exe,nvmccsrs.dll

; nvcpl.cpl,nvcplui.exe,nvcpluir.dll,nvexpbar.dll

; nvcpl.chm,nvdsp.chm,nv3d.chm,nvmob.chm

; nvapps.xml>nvapps.nvb

;

"CopyFiles"=hex(7):64,00,65,00,66,00,61,00,75,00,6c,00,74,00,2e,00,74,00,76,00,\

70,00,2c,00,6b,00,65,00,79,00,73,00,74,00,6f,00,6e,00,65,00,2e,00,65,00,78,\

00,65,00,2c,00,6e,00,76,00,61,00,70,00,70,00,62,00,61,00,72,00,2e,00,65,00,\

78,00,65,00,2c,00,6e,00,76,00,63,00,6f,00,6c,00,6f,00,72,00,2e,00,65,00,78,\

00,65,00,2c,00,6e,00,76,00,64,00,73,00,70,00,73,00,63,00,68,00,2e,00,65,00,\

78,00,65,00,2c,00,6e,00,76,00,69,00,65,00,77,00,2e,00,64,00,6c,00,6c,00,2c,\

00,6e,00,76,00,73,00,68,00,65,00,6c,00,6c,00,2e,00,64,00,6c,00,6c,00,2c,00,\

6e,00,76,00,74,00,75,00,69,00,63,00,70,00,6c,00,2e,00,63,00,70,00,6c,00,2c,\

00,6e,00,76,00,77,00,64,00,6d,00,63,00,70,00,6c,00,2e,00,64,00,6c,00,6c,00,\

2c,00,6e,00,76,00,77,00,69,00,6d,00,67,00,2e,00,64,00,6c,00,6c,00,2c,00,6e,\

00,77,00,69,00,7a,00,2e,00,65,00,78,00,65,00,2c,00,6e,00,76,00,6d,00,63,00,\

63,00,73,00,72,00,73,00,2e,00,64,00,6c,00,6c,00,00,00,6e,00,76,00,63,00,70,\

00,6c,00,2e,00,63,00,70,00,6c,00,2c,00,6e,00,76,00,63,00,70,00,6c,00,75,00,\

69,00,2e,00,65,00,78,00,65,00,2c,00,6e,00,76,00,63,00,70,00,6c,00,75,00,69,\

00,72,00,2e,00,64,00,6c,00,6c,00,2c,00,6e,00,76,00,65,00,78,00,70,00,62,00,\

61,00,72,00,2e,00,64,00,6c,00,6c,00,00,00,6e,00,76,00,63,00,70,00,6c,00,2e,\

00,63,00,68,00,6d,00,2c,00,6e,00,76,00,64,00,73,00,70,00,2e,00,63,00,68,00,\

6d,00,2c,00,6e,00,76,00,33,00,64,00,2e,00,63,00,68,00,6d,00,2c,00,6e,00,76,\

00,6d,00,6f,00,62,00,2e,00,63,00,68,00,6d,00,00,00,6e,00,76,00,61,00,70,00,\

70,00,73,00,2e,00,78,00,6d,00,6c,00,3e,00,6e,00,76,00,61,00,70,00,70,00,73,\

00,2e,00,6e,00,76,00,62,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}01\Uninstall]

; Contents of value:

; default.tvp,keystone.exe,nvappbar.exe,nvcolor.exe,nvdspsch.exe,nview.dll,nvshell.dll,nvtuicpl.cpl,nvwdmcpl.dll,nvwimg.dll,nwiz.exe,nvmccsrs.dll

; nvcpl.cpl,nvcplui.exe,nvcpluir.dll,nvexpbar.dll

; nvcpl.chm,nvdsp.chm,nv3d.chm,nvmob.chm

; nvapps.xml>nvapps.nvb

;

"CopyFiles"=hex(7):64,00,65,00,66,00,61,00,75,00,6c,00,74,00,2e,00,74,00,76,00,\

70,00,2c,00,6b,00,65,00,79,00,73,00,74,00,6f,00,6e,00,65,00,2e,00,65,00,78,\

00,65,00,2c,00,6e,00,76,00,61,00,70,00,70,00,62,00,61,00,72,00,2e,00,65,00,\

78,00,65,00,2c,00,6e,00,76,00,63,00,6f,00,6c,00,6f,00,72,00,2e,00,65,00,78,\

00,65,00,2c,00,6e,00,76,00,64,00,73,00,70,00,73,00,63,00,68,00,2e,00,65,00,\

78,00,65,00,2c,00,6e,00,76,00,69,00,65,00,77,00,2e,00,64,00,6c,00,6c,00,2c,\

00,6e,00,76,00,73,00,68,00,65,00,6c,00,6c,00,2e,00,64,00,6c,00,6c,00,2c,00,\

6e,00,76,00,74,00,75,00,69,00,63,00,70,00,6c,00,2e,00,63,00,70,00,6c,00,2c,\

00,6e,00,76,00,77,00,64,00,6d,00,63,00,70,00,6c,00,2e,00,64,00,6c,00,6c,00,\

2c,00,6e,00,76,00,77,00,69,00,6d,00,67,00,2e,00,64,00,6c,00,6c,00,2c,00,6e,\

00,77,00,69,00,7a,00,2e,00,65,00,78,00,65,00,2c,00,6e,00,76,00,6d,00,63,00,\

63,00,73,00,72,00,73,00,2e,00,64,00,6c,00,6c,00,00,00,6e,00,76,00,63,00,70,\

00,6c,00,2e,00,63,00,70,00,6c,00,2c,00,6e,00,76,00,63,00,70,00,6c,00,75,00,\

69,00,2e,00,65,00,78,00,65,00,2c,00,6e,00,76,00,63,00,70,00,6c,00,75,00,69,\

00,72,00,2e,00,64,00,6c,00,6c,00,2c,00,6e,00,76,00,65,00,78,00,70,00,62,00,\

61,00,72,00,2e,00,64,00,6c,00,6c,00,00,00,6e,00,76,00,63,00,70,00,6c,00,2e,\

00,63,00,68,00,6d,00,2c,00,6e,00,76,00,64,00,73,00,70,00,2e,00,63,00,68,00,\

6d,00,2c,00,6e,00,76,00,33,00,64,00,2e,00,63,00,68,00,6d,00,2c,00,6e,00,76,\

00,6d,00,6f,00,62,00,2e,00,63,00,68,00,6d,00,00,00,6e,00,76,00,61,00,70,00,\

70,00,73,00,2e,00,78,00,6d,00,6c,00,3e,00,6e,00,76,00,61,00,70,00,70,00,73,\

00,2e,00,6e,00,76,00,62,00,00,00,00,00

 

; End Of The Log...

 

a+

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

1) Tu vas ajouter une adresse dans ton fichier Hosts.

 

Ouvre Hijackthis et clique sur "Open the misc tools section"

  • Clique sur "Open hosts file manager"> une fenêtre va s'ouvrir avec le contenu du fichier Hosts
  • Clique sur le bouton "Open in notepad"
  • A présent le fichier Hosts lui même s'ouvre.
  • Ajoute la ligne suivante après 127.0.0.1 localhost (sans le mot CITATION) >
    127.0.0.1 213.21.215.214
  • Clique ensuite sur Fichier puis Enregistrer
  • Tu peux fermer Hijackthis ainsi que le fichier Hosts

Note: il y a 7 espaces entre 127.0.0.1 et 213.21.215.214 malheureusement je ne parviens pas à l'afficher comme je voudrais! (regarde les autres adresses dans le fichier pour te repérer)

 

2) Stp rend toi sur cette page afin de télécharger le fichier usrntfix.reg > http://www.sendspace.com/file/f8y7e6

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: usrntfix.reg

 

Double clique sur le fichier usrntfix.reg et accepte la fusion avec le registre.

 

3) Télécharger The Avenger par Swandog46 sur votre Bureau.

  • Click sur Avenger.zip pour ouvrir le fichier
  • Extraire avenger.exe sur votre bureau

a). Copier tout le texte de la boîte ci-dessous (sans le mot "code") : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to unload:
atmapi

Files to Delete:
C:\WINDOWS\System32\drivers\atmapi.sys
C:\WINDOWS\nview.dll
C:\WINDOWS\nibble.exe
C:\Windows\Prefetch\NIBBLE.EXE-02551F7B.pf
C:\Documents and Settings\Turhan\Local Settings\Temporary Internet Files\Content.IE5\45EZSL2V\nibble[1].exe
C:\WINDOWS\Help\mwrem.cin 
C:\WINDOWS\Help\access.cni

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\1
HKEY_LOCAL_MACHINE\SOFTWARE\2

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | zwpInit_Dlls

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

b). Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Cliquer Done
  • ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

c). The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

Poste moi le rapport Avenger stp, ainsi qu'un nouveau rapport hijackthis fait comme ceci >

 

Lance HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...