Examen de rapport

[marathon]

Bonjour,

Utilisateur de Mozilla, j'essaie de lutter contre l'ouverture de fenêtres intempestives.

Je recherche un docteur pour analyser ce rapport et m'indiquer les suites à donner.

Merci doc '

Hervé

 

Search Navipromo version 3.5.2 commencé le 30/03/2008 à 14:41:14,73

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Marathon 'Man"

 

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2800.1106

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Marathon 'Man\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Marathon 'Man\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju.dat

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju.exe

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju_nav.dat

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju_navps.dat

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" :

 

kcgbjyju.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 30/03/2008 à 14:47:09,95 ***

[WawaSeb]

Bonjour marathon,

 

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

--> Navilog1 a trouvé une infection (Magic Control Agent) !!!

 

Groupe : Membres

Messages : 1

--> Je vois que tu es nouveau ici, prends donc bien ton temps pour observer le fonctionnement de ce site :

 

• Comment participer à un forum
  
• Mettre en forme un message
  

 

 

1) Double-clique sur le raccourci de Navilog1 !

• Choisis ta langue...
  
• Presse une touche lorsque le programme t'affiche "Appuyez sur une touche pour continuer..."
  
• Choisis maintenant l'option 2 (Désinfection automatique)
  
• Ton PC va redémarrer (ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts)
  ----> S'il ne le fait pas, redémarre manuellement...
  ----> Choisis ta session habituelle
  
• Poste le rapport cleanavi.txt créé sur ton bureau en fin de procédure (il faudra attendre un peu)...
  

Si ton bureau reste vide après le redémarrage :

--> Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

 

--> Ensuite ferme Internet explorer s'il est ouvert.

* Rend toi dans ton Menu démarrer, Paramètres, Panneau de configuration, Options Internet

* Clique sur l'onglet Contenu, puis Certificats.

* Dans tous les onglets, Personnel, Autres personnes, etc. cherche et supprime (si tu les trouves) :

• electronic-group
  
• egroup
  
• Montorgueil
  
• VIP
  
• "Sunny Day Design Ltd"
  
• OOO <<Favorit>>
  

Note : si tu es capable avant de les supprimer d'exporter ces certificats et de nous les envoyer, IL-MAFIOSO pourra intégrer leur suppression à la prochaine version de son fix !

 

 

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

 

Tutoriaux : http://pagesperso-orange.fr/rginformatique.../demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

 

Bon travail à toi !

[marathon]

Bonjour !

 

Grand merci pour le temps passé à analyser et répondre.

J'ai suivis à la lettre ton protocole :

- Navilog a de lui-même supprimé certains certificats dont tu m'as parlé. (cf le rapport à la fin de ce message).

- Je ne suis donc pas en mesure de te transmettre les certificats

- Je n'ai rien trouvé d'autre dans les différents onglets des Options Internet

 

Concernant Hijackthis :

- J'arrive à le télécharger

- L'installation est refusée. je reçois ce message : Composant introuvable : MSVBVM60.DLL est introuvable. Et ce malgré plusieurs téléchargements.

 

Je te joins le rapport de la désinfection automatique de Navilog.

Après cette désinfection, je remarque que :

- mon pc est plus rapide ! C'est net... et mieux.

- dans Ajout/Suppressions de programme, je n'ai plus toute une série de programme (mon ordi fonctionne correctement !) tels que : les correctifs Windows XP par exemple.

 

GRAND MERCI !

 

Hervé

 

Rapport Navilog après désinfection automatique : [/size][/b]

 

Clean Navipromo version 3.5.2 commencé le 31/03/2008 à 15:07:44,76

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Marathon 'Man"

 

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2800.1106

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju.dat réalisée avec succès !

Copie C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju.exe réalisée avec succès !

Copie C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju_nav.dat réalisée avec succès !

Copie C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju_navps.dat réalisée avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju.dat supprimé !

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju.exe supprimé !

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju_nav.dat supprimé !

C:\Documents and Settings\Marathon 'Man\Local Settings\Application Data\kcgbjyju_navps.dat supprimé !

 

** 2ème passage avec résultats Catchme **

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" *

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" *

 

 

* Suppression dans "C:\DOCUME~1\Marilou\locals~1\applic~1" *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Marathon 'Man\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Marathon 'Man\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Marathon 'Man\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\Marathon 'Man\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\Marilou\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Nettoyage terminé le 31/03/2008 à 15:11:22,62 ***

[WawaSeb]

Bonsoir marathon,

 

*** Navilog a fait du bon travail... et toi aussi : génial ! ***

 

 

L'installation est refusée

--> Essayons ceci si tu veux bien :

 

 

1) Télécharge la DLL en cliquant ici.

• Enregistre le fichier sur ton bureau.
  
• Renomme-le en "msvbvm60.dll" (sans les guillemets).
  
• Copie-colle le fichier msvbvm60.dll dans le dossier C:\Windows\System32\
  
• Redémarre ta machine.
  

 

 

2) Retente la procédure avec HijackThis !

 

 

Bonne nuit à toi,

[marathon]

Hello !

 

La DLL a été téléchargée avec succès, le téléchargement de Hijack this aussi...

Et voilà donc le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:08:42, on 01/04/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\switpa.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe

C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.radiofrance.fr/chaines/france-culture2/sommaire/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ljncdcoe] c:\windows\system32\ljncdcoe.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12205aa856b144...RdxIE601_fr.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/diamond.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup...p1/imloader.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

--

End of file - 7446 bytes

 

Merci pour ton boulot à toi !

[WawaSeb]

Bonjour marathon,

 

*** Bien joué pour HijackThis, tu as bien suivi la manoeuvre ! ***

--> Il reste quelques infections embêtantes !

 

 

1) Note en ce qui concerne Boonty :

"Il se peut que nous partageons aussi des informations payantes avec des tiers

qui fournissent ds services payants et partage des données regroupées montrant le type

et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,

niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,

internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.

De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails

qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

--> Voil

à

ce que tu accepte

s

en jouant avec leur

s

jeux !

-->

S

i comme moi, tu n'e

s

pa

s

d'accord avec cette politique :

 

--> Clique sur Démarrer, puis sur Exécuter

• Tape cmd.exe et appuie sur Entrée
  
• Tape ensuite exactement les commandes suivantes :
  
• sc stop "Boonty"
  
• sc delete "Boonty"
  

Note : Si tu y rejoues, le service se ré-installera !

 

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

 

O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)

 

O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe

 

O4 - HKLM\..\Run: [ljncdcoe] c:\windows\system32\ljncdcoe.exe

 

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12205aa856b144...RdxIE601_fr.cab

 

O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/diamond.cab

 

 

3) Supprime les fichiers suivants (si présents) :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\WINDOWS\ceres.dll
  
• C:\WINDOWS\switpa.exe
  

 

 

4) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

 

• Windows Temp
  
• Current User Temp
  
• All Users Temp
  
• Cookies
  
• Temporary Internet Files
  
• Prefetch
  
• Java Cache
  
• Recycle Bin
  

 

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

5) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

6) Envoie-moi le fichier C:\windows\system32\ljncdcoe.exe (voir mes instructions en privé !)

 

-----------------------------------------------------------------------------------

 

Au final, je te demande de reposter les rapports suivants :

• Un nouvel HijackThis
  
• Le rapport du scan en ligne
  

 

 

Bon travail à toi !