Cheval de Troie

[oGu]

# Télécharge Combofix de sUBs

• Enregistre-le impérativement sur ton bureau.
  
• Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).
  
• Ferme toutes les fenêtres.
  
• Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre).
  
• Appuie sur Y pour lancer le scan.
  
• A la fin du scan (cela peut prendre du temps), un rapport sera créé.
  
• Poste ce rapport dans ton / tes prochain(s) message(s).
  

[gaelle19100]

ComboFix 08-02-23.2 - Utilisateur 2008-02-23 18:28:03.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.34 [GMT 1:00]

Endroit: C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-01-23 to 2008-02-23 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-22 16:05 . 2008-02-22 16:05 <REP> d-------- C:\WINDOWS\ERUNT

2008-02-22 15:53 . 2008-02-22 16:21 <REP> d-------- C:\SDFix

2008-02-13 13:05 . 2008-02-13 13:05 129 --a------ C:\WINDOWS\system32\MRT.INI

2008-02-08 16:14 . 2008-02-08 16:14 <REP> d-------- C:\VundoFix Backups

2008-02-07 19:40 . 2008-02-07 19:41 <REP> d-------- C:\Program Files\7-Zip

2008-02-06 19:44 . 2008-02-06 19:44 <REP> d-------- C:\Documents and Settings\Utilisateur\Application Data\ItsLabel

2008-02-06 19:36 . 2008-02-13 17:16 <REP> d-------- C:\Program Files\eoRezo

2008-02-06 19:36 . 2008-02-23 16:20 <REP> d-------- C:\Documents and Settings\Utilisateur\Application Data\EoRezo

2008-02-04 06:43 . 2008-02-04 06:43 <REP> d-------- C:\Program Files\Xvid

2008-02-04 06:43 . 2007-06-28 18:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll

2008-02-04 06:43 . 2007-06-28 18:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll

2008-02-04 06:43 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax

2008-01-27 13:49 . 2008-01-27 13:49 <REP> d-------- C:\Program Files\Avira

2008-01-27 13:49 . 2008-01-27 13:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-01-26 15:15 . 2008-01-26 15:15 <REP> d-------- C:\Program Files\Trend Micro

2008-01-25 16:37 . 19,584 C:\WINDOWS\system32\drivers\ekqpyzfl.dat

2008-01-24 17:26 . 2008-01-24 17:26 <REP> d-------- C:\Program Files\Softwin

2008-01-24 17:25 . 2008-01-24 17:26 <REP> d-------- C:\Program Files\Fichiers communs\Softwin

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-23 17:27 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\OpenOffice.org2

2008-02-20 12:36 --------- d-----w C:\Program Files\eMule

2008-01-22 19:55 25,984 ----a-w C:\WINDOWS\system32\drivers\Kor04.sys

2008-01-17 21:55 --------- d-----w C:\Program Files\MSN Messenger

2008-01-17 18:55 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-01-11 02:01 --------- d-----w C:\Program Files\MSXML 4.0

2008-01-10 18:29 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Samsung

2008-01-10 17:56 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-10 17:56 --------- d-----w C:\Program Files\epson

2008-01-10 17:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL

2008-01-10 17:53 --------- d-----w C:\Program Files\ArcSoft

2008-01-10 17:52 --------- d-----w C:\Program Files\Smart Panel

2008-01-08 18:34 --------- d-----w C:\Program Files\PhotoFiltre

2008-01-08 02:05 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2

2008-01-06 17:57 --------- d-----w C:\Program Files\Fichiers communs\FotoWire

2008-01-06 17:57 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\FotoWire

2008-01-06 17:55 81,920 ------r C:\WINDOWS\bwUnin-6.1.4.68-8876480L.exe

2008-01-06 17:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-01-06 17:46 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-01-06 17:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-01-06 16:45 --------- d-----w C:\Program Files\Microsoft.NET

2008-01-05 08:59 --------- d-----w C:\Program Files\Samsung

2008-01-04 19:02 --------- d-----w C:\Program Files\Logitech

2008-01-04 19:01 --------- d-----w C:\Program Files\Fichiers communs\Logitech

2008-01-03 16:52 --------- d-----w C:\Program Files\OpenOffice.org 2.2

2008-01-03 16:37 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys

2008-01-03 16:37 --------- d-----w C:\Program Files\TRENDnet

2008-01-03 16:09 --------- d-----w C:\Program Files\LimeWire

2008-01-03 16:09 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\LimeWire

2008-01-03 16:07 --------- d-----w C:\Program Files\TRENDnet(2)

2008-01-03 16:07 --------- d-----w C:\Program Files\Lavalys(2)

2007-12-25 20:25 --------- d-----w C:\Program Files\Windows Live

2007-12-25 15:48 --------- d-----w C:\Program Files\EA GAMES

2007-12-23 08:17 --------- d-----w C:\Program Files\Java

2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll

2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3262FCBC-05E5-48A1-833C-991B73BD0D77}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d786e36e-1dd1-11b2-8f78-99a1cc9e5bb4}]

C:\WINDOWS\hydqnolk.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2008-01-06 18:55 20480]

"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2004-10-08 12:06 196608]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-06-28 17:27 181488]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

C:\Documents and Settings\Utilisateur\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 17:54:56 393216]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-01-06 18:55:28 450560]

Wireless Configuration Utility HW.14.lnk - C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe [2007-07-09 15:43:00 634880]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lonilgb]

lonilgb.dll 2007-06-13 14:22 100864 C:\WINDOWS\system32\lonilgb.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"= %windir%\\system32\\sessmgr.exe:@xpsp2res.dll,-22019

"%windir%\\Network Diagnostic\\xpnetdiag.exe"= %windir%\\Network Diagnostic\\xpnetdiag.exe:@xpsp3res.dll,-20000

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=

"C:\\WINDOWS\\Temp\\NavBrowser.exe"=

"C:\\DOCUME~1\\UTILIS~1\\LOCALS~1\\Temp\\services.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

 

R0 gzzxrsnq;gzzxrsnq;C:\WINDOWS\system32\drivers\ekqpyzfl.dat []

R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 02:13]

R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 09:57]

S3 Kor04;Kor04;C:\WINDOWS\System32\drivers\Kor04.sys [2008-01-22 20:55]

S3 Lor72;Lor72;C:\WINDOWS\System32\drivers\Lor72.sys []

S3 RTL8187B;TRENDnet TEW-424UB 54M USB Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-05-04 20:40]

S3 Txb71;Txb71;C:\WINDOWS\System32\drivers\Txb71.sys []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\Setup.exe

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-23 18:30:50

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]

-> C:\Program Files\ArcSoft\PhotoImpression 5\share\pihook.dll

.

Temps d'accomplissement: 2008-02-23 18:32:09

ComboFix-quarantined-files.txt 2008-02-23 17:32:04

ComboFix2.txt 2008-02-23 15:25:31

.

2008-02-20 12:10:13 --- E O F ---

[oGu]

• Relance HijackThis
  
• Sélectionne "Do a scan only"
  
• Coche les lignes suivantes:
   
  O2 - BHO: (no name) - {3262FCBC-05E5-48A1-833C-991B73BD0D77}
   
  O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll
   
  O2 - BHO: (no name) - {d786e36e-1dd1-11b2-8f78-99a1cc9e5bb4} - C:\WINDOWS\hydqnolk.dll (file missing)
   
   
  
  
• Clique en bas sur "Fix checked"
  
• Redémarre
  

PUIS

 

• Supprimer un fichier infectieux avec OtMoveIt
   
  
  
• Télécharge OTMoveIt sur ton bureau
   
  http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
  

• Double clic sur OTMoveIt.exe
  
• Sélectionne et copie les lignes violettes ci-dessous:
   
  C:\WINDOWS\SYSTEM32\lonilgb.dll
  C:\Program Files\eoRezo
  C:\Documents and Settings\Utilisateur\Application Data\EoRezo
  
• Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  
• Clic sur le bouton rouge MoveIt
  
• Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes"
  
• Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles
  
• Poste un nouveau rapport HijackThis en complément
  

Modifié le 23 février 2008 par oGu

[gaelle19100]

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\lonilgb.dll

C:\WINDOWS\SYSTEM32\lonilgb.dll NOT unregistered.

File move failed. C:\WINDOWS\SYSTEM32\lonilgb.dll scheduled to be moved on reboot.

C:\Program Files\eoRezo\lang moved successfully.

C:\Program Files\eoRezo\EoAdv moved successfully.

C:\Program Files\eoRezo moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\EoWeather\images_station_meteo moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\EoWeather\images_classic moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\EoWeather\images moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\EoWeather moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\eoStats moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\eoDesktop moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo\db moved successfully.

C:\Documents and Settings\Utilisateur\Application Data\EoRezo moved successfully.

 

OTMoveIt2 v1.0.20 log created on 02242008_160715

[gaelle19100]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:19:15, on 24/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Neuf\Kit\WiFi\9wifi.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.68-8876480L\Program\sprite6.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Wireless Configuration Utility HW.14.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O20 - Winlogon Notify: lonilgb - C:\WINDOWS\SYSTEM32\lonilgb.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 5495 bytes

[oGu]

Re,

• Va dans le menu "Démarrer"
  
• Clique sur "Exécuter"
  
• Dans l'invite qui s'ouvre, copie-colle cette ligne:
   
  Regsvr32 [/u] lonilgb.dll
   
  
  
• Valide avec OK
  
  
• Un message t'avertira de la réussite (ou non!) de l'opération
  
  

PUIS

• Double clic sur OTMoveIt.exe
  
• Sélectionne et copie les lignes violettes ci-dessous:
   
  C:\WINDOWS\SYSTEM32\lonilgb.dll
  
  
  
• Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  
• Clic sur le bouton rouge MoveIt
  
• Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes"
  
• Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles
  
• Poste un nouveau rapport HijackThis en complément
  

Modifié le 25 février 2008 par oGu

[gaelle19100]

Encor désolé de vous déranger pour si peu, mais quand je met "Regsvr32 [/u] lonilgb.dll" et que je clique sur ok, une fenetre s'ouvre et m'affiche : "LoadLibrary("[/u]") a échoué - Le module spécifié est introuvable". Que dois-je faire?

[gaelle19100]

Je n'arrive pas a récupérer les lignes violettes aussi!

[oGu]

Re,

 

on va procéder différement.

 

 

COMBOFIX

• 
  
• Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
  
• Ouvre le bloc-note et colle les lignes ci-dessous (Big UP #2 à Angélique !):
  
  

Collect::[27]
C:\WINDOWS\System32\drivers\Kor04.sys
C:\WINDOWS\System32\drivers\Lor72.sys
C:\WINDOWS\System32\drivers\Txb71.sys

Driver::
gzzxrsnq
Kor04
Lor72
Txb71

File::
C:\WINDOWS\system32\drivers\ekqpyzfl.dat
C:\WINDOWS\System32\drivers\Kor04.sys
C:\WINDOWS\System32\drivers\Lor72.sys
C:\WINDOWS\System32\drivers\Txb71.sys
C:\WINDOWS\system32\lonilgb.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lonilgb]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d786e36e-1dd1-11b2-8f78-99a1cc9e5bb4}]

 

* Attention, ce code a été rédigé spécialement pour Gaëlle, prière de ne pas le ré-utiliser dans d'autres cas !

• Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
  
• Choisis "Enregistrer sous" et choisis "Bureau"
  
• Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt
  
• Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
  
• Quitte le Bloc-note
  
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  
• Réactive ton antivirus.
  

Puis:

 

Je note que tu as deux logiciels de peer-to-peer: LimeWire et Emule

 

Merci donc de relire:

 

-la charte du forum:

 

http://forum.zebulon.fr/index.php?act=SR&f=40

 

-l'article sur les dangers des cracks:

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

Va faire un tour sur le forum de désinfection, il y a autant d'infections dûes à MSN qu'au peer-to-peer: merci donc de désinstaller LimeWire comme Emule sous peine de nouvelle infection

Modifié le 27 février 2008 par angelique