FPS bas - Log HijackThis

[pear]

Bonjour,

 

Ai-je raison?

Tout à fait.

Vous voudrez bien excuser cette négligence;j'aurais dû me relire.

 

Relancez Otmoveit, après correction svp, et postez le 1°rapport et celui-ci.

[ChaotiCc`]

Ca y est! Enfin

 

Mes rapports :

 

SuperAntiSpyware :

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 01/02/2009 at 09:52 PM

 

Application Version : 4.24.1004

 

Core Rules Database Version : 3693

Trace Rules Database Version: 1669

 

Scan type : Complete Scan

Total Scan Time : 02:02:47

 

Memory items scanned : 557

Memory threats detected : 0

Registry items scanned : 8858

Registry threats detected : 29

File items scanned : 50120

File threats detected : 80

 

Adware.Vundo Variant

HKU\S-1-5-21-3601220017-2494414139-1306248022-1012\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6C54318-5AC7-477D-B0A7-49AF5189300C}

 

Adware.Tracking Cookie

C:\Documents and Settings\Gaming\Cookies\gaming@bluestreak[2].txt

C:\Documents and Settings\Gaming\Cookies\gaming@atdmt[2].txt

C:\Documents and Settings\Gaming\Cookies\gaming@mediaplex[2].txt

C:\Documents and Settings\Gaming\Cookies\gaming@apmebf[1].txt

C:\Documents and Settings\Gaming\Cookies\gaming@doubleclick[1].txt

.doubleclick.net [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

ad.yieldmanager.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.tradedoubler.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.tradedoubler.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.tradedoubler.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.tradedoubler.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

ad.yieldmanager.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

ad.yieldmanager.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

ad.yieldmanager.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

2.go.globaladsales.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.bs.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.serving-sys.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.estat.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.atdmt.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.xiti.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.weborama.fr [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.smartadserver.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.advertstream.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.advertstream.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.advertstream.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.advertstream.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.advertstream.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.adtech.de [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.adviva.net [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

.bluestreak.com [ C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\colb8h77.default\cookies.txt ]

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@stat.blogorama[1].txt

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@media-convert[1].txt

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adv.surinter[3].txt

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@adv.surinter[1].txt

be.sitestat.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

be.sitestat.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.xiti.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.bluestreak.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.doubleclick.net [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

adserver.rozenbergads.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.adserver.adremedy.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.adserver.adremedy.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.mediaplex.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.statcounter.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.statcounter.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.overture.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.2o7.net [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.weborama.fr [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.247realmedia.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.247realmedia.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.tradedoubler.com [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.valueclick.net [ C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Profiles\default\mfzbr4nv.slt\cookies.txt ]

.fastclick.net [ C:\Documents and Settings\Invité\Application Data\Mozilla\Profiles\default\gpjc10cw.slt\cookies.txt ]

.azjmp.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.azjmp.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.statcounter.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.tribalfusion.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.microsofteup.112.2o7.net [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.2o7.net [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.2o7.net [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.2o7.net [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

statse.webtrendslive.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

statse.webtrendslive.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.cs.sexcounter.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.cs.sexcounter.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

www.ourfreeporn.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.cs.sexcounter.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.cs.sexcounter.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

.xiti.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

www.sexedenfer.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

www.sexedenfer.com [ C:\WINDOWS\Mozilla\Profiles\default\ernfx6bv.slt\cookies.txt ]

 

Unclassified.Oreans32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32#NextInstance

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Service

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Legacy

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ConfigFlags

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Class

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ClassGUID

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#DeviceDesc

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Capabilities

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Driver

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control

HKLM\SYSTEM\CurrentControlSet\Services\oreans32

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Type

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Start

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ErrorControl

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ImagePath

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#DisplayName

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security#Security

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#0

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#Count

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#NextInstance

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#INITSTARTFAILED

 

Adware.Vundo Variant/Rel

HKLM\SOFTWARE\Microsoft\FCOVM

HKLM\SOFTWARE\Microsoft\RemoveRP

 

Trojan.Gen

C:\WINDOWS\UNIFISH3.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\MENU DéMARRER\PROGRAMMES\LES TRUCS A PIERRE-LOUIS\HASBRO INTERACTIVE\ROLLERCOASTER TYCOON\DéSINSTALLER ROLLERCOASTER TYCOON.LNK

 

Trojan.NewDotNet-Installer

C:\PROGRAM FILES\REAL POOL\NNSUNA3_88.EXE

 

Adware.WhenU

C:\PROGRAM FILES\REAL POOL\SUNNYGAMES_WHENUSAVE_INSTALLERINST.EXE

 

 

Recherche Navilog :

 

 

Search Navipromo version 3.7.1 commencé le sam. 03/01/2009 à 13:01:29,76

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon 64 Processor 3700+ )

BIOS : Phoenix - Award BIOS v6.00PG

USER : Gaming ( Administrator )

BOOT : Normal boot

 

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

Firewall : Lavasoft Personal Firewall 3.0 (Activated)

 

C:\ (Local Disk) - NTFS - Total:180 Go (Free:72 Go)

D:\ (Local Disk) - FAT32 - Total:5 Go (Free:2 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

G:\ (CD or DVD)

H:\ (CD or DVD)

N:\ (USB) - FAT - Total:483 Mo (Free:0 Go)

O:\ (USB)

P:\ (USB)

S:\ (USB)

 

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Gaming\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.EIN\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.000\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.001\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\HP_PRO~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\Jean\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Gaming\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.EIN\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.001\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\HP_PRO~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\Jean\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Gaming\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.001\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\HP_PRO~1\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\Jean\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\Gaming\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1.EIN\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1.001\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\HP_PRO~1\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\Jean\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\system32\nvs2.inf trouvé !

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\Gaming\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\ADMINI~1.EIN\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\ADMINI~1.001\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\HP_PRO~1\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\Jean\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat Montorgueil absent !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

C:\WINDOWS\system32\HRqBIkkj.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

C:\WINDOWS\system32\Nnnmmnmp.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

C:\WINDOWS\system32\OpAdNUtv.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

 

 

*** Analyse terminée le sam. 03/01/2009 à 13:24:09,18 ***

 

Désinfection Navilog :

 

LUClean Navipromo version 3.7.1 commencé le sam. 03/01/2009 à 14:35:13,14

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon 64 Processor 3700+ )

BIOS : Phoenix - Award BIOS v6.00PG

USER : Gaming ( Administrator )

BOOT : Normal boot

 

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

Firewall : Lavasoft Personal Firewall 3.0 (Activated)

 

C:\ (Local Disk) - NTFS - Total:180 Go (Free:72 Go)

D:\ (Local Disk) - FAT32 - Total:5 Go (Free:2 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

G:\ (CD or DVD)

H:\ (CD or DVD)

N:\ (USB) - FAT - Total:483 Mo (Free:0 Go)

O:\ (USB)

P:\ (USB)

S:\ (USB)

 

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\WINDOWS\System32" *

 

 

* Suppression dans "C:\Documents and Settings\Gaming\locals~1\applic~1" *

 

 

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\ADMINI~1.EIN\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\ADMINI~1.001\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\HP_PRO~1\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\Jean\locals~1\applic~1" *

 

 

*** Suppression dossiers dans "C:\WINDOWS" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Gaming\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.EIN\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.000\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.001\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\HP_PRO~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\Jean\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Gaming\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.EIN\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.001\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\HP_PRO~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\Jean\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Gaming\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1.001\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\HP_PRO~1\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\Jean\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\menudm~1\progra~1" ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Gaming\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\WINDOWS\system32" *

 

 

* Dans "C:\Documents and Settings\Gaming\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\ADMINI~1.EIN\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\ADMINI~1.001\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\HP_PRO~1\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\Jean\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Recherche autres dossiers et fichiers connus ***

 

C:\WINDOWS\system32\HRqBIkkj.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

C:\WINDOWS\system32\Nnnmmnmp.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

C:\WINDOWS\system32\OpAdNUtv.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !

 

 

*** Nettoyage terminé le sam. 03/01/2009 à 16:12:56,48 ***

 

OTMoveIT 3 :

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

Unable to kill process: rlvknlg.exe

Unable to kill process: SOUNDMAN.EXE

Unable to kill process: HPWuSchd2.exe

Unable to kill process: mDNSResponder.exe

========== FILES ==========

File/Folder c:\windows\system32\rlvknlg.exe not found.

File/Folder C:\WINDOWS\SOUNDMAN.EXE not found.

File/Folder C:\Program Files\HP\HP Software Update\HPWuSchd2.exe not found.

File/Folder C:\Program Files\Bonjour\mDNSResponder.exe not found.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\RelevantKnowledge not found.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\Gaming\LOCALS~1\Temp\etilqs_z2Pkr9pOvRJvnA3BlmZE scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Gaming\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Gaming\LOCALS~1\Temp\hpqtra000.log scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\Gaming\LOCALS~1\Temp\_hphtra07.log scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\HPSLPS021.log scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\JET359.tmp scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_334.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_f4.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 01042009_141417

 

Files moved on Reboot...

File C:\DOCUME~1\Gaming\LOCALS~1\Temp\etilqs_z2Pkr9pOvRJvnA3BlmZE not found!

C:\DOCUME~1\Gaming\LOCALS~1\Temp\hpodvd09.log moved successfully.

C:\DOCUME~1\Gaming\LOCALS~1\Temp\hpqtra000.log moved successfully.

C:\DOCUME~1\Gaming\LOCALS~1\Temp\_hphtra07.log moved successfully.

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

C:\WINDOWS\temp\HPSLPS021.log moved successfully.

File C:\WINDOWS\temp\JET359.tmp not found!

C:\WINDOWS\temp\Perflib_Perfdata_334.dat moved successfully.

C:\WINDOWS\temp\Perflib_Perfdata_f4.dat moved successfully.

C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Gaming\Local Settings\Application Data\Mozilla\Firefox\Profiles\4z9xbqsn.default\urlclassifier3.sqlite moved successfully.

 

 

Rapport HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:28:50, on 4/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Lavasoft\Personal Firewall\lpfw.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\NTR global\NTRconnect\NTRconnect.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\vmnat.exe

C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\DNA\btdna.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

K:\HiJackThis.exe

C:\WINDOWS\notepad.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILE...USNTLEl4Y4Q4w==

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: WinAVI FLVSense - {E8DF67A1-B618-4F3F-9E7C-CBE175ADEF5B} - C:\Program Files\WinAVI FLV Converter\FLVTune.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Startup: Raccourci vers avgnt.lnk = C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Pierre-Louis.EINSTEIN\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: WinAVI FLV Manager - {DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - C:\Program Files\WinAVI FLV Converter\FLVTune.dll

O9 - Extra 'Tools' menuitem: WinAVI FLV Manager - {DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - C:\Program Files\WinAVI FLV Converter\FLVTune.dll

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll

O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll

O15 - Trusted Zone: http://asia.msi.com.tw

O15 - Trusted Zone: http://global.msi.com.tw

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1222973199453

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownlo...Plugin11USA.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1150997827718

O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://v5.windowsupdate.microsoft.com/micr...b?1150997649140

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.mypix.com/be/fr/importer/ImageUploader4.cab

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-bef.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} - https://www.ntrconnect.com/main/mod/setup/n...tivex118_24.cab

O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer = 195.238.2.21,195.238.2.22

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: awtustq - awtustq.dll (file missing)

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Personal Firewall Service (LavasoftFirewall) - Agnitum Ltd. - C:\Program Files\Lavasoft\Personal Firewall\lpfw.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NTRconnect (ntrconnect) - Net Transmit & Receive - C:\Program Files\NTR global\NTRconnect\NTRconnect.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

 

--

End of file - 13744 bytes

 

 

Dans le rapport HJT, ne devrais-je pas cocher les lignes suivantes?

 

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) (J'utilise pas la Yahoo! Toolbar)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file) (Je ne vois pas c'est quoi...)

O2 - BHO: WinAVI FLVSense - {E8DF67A1-B618-4F3F-9E7C-CBE175ADEF5B} - C:\Program Files\WinAVI FLV Converter\FLVTune.dll (J'utilise rarement WinAVI FLV Converter...)

[pear]

Ok pour ceci:

 

Dans le rapport HJT, ne devrais-je pas cocher les lignes suivantes?

 

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) (J'utilise pas la Yahoo! Toolbar)

O2 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file) (Je ne vois pas c'est quoi...)

 

Télécharger SmitfraudFix sur le Bureau

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Sous Xp, vous faites la suite.

 

option 1 - Recherche :

Double cliquer sur smitfraudfix.exe

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ).

Double cliquer sur smitfraudfix.exe

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

Poster le rapport(c:\rapport.txt)

 

Téléchargez Malwarebytes' Anti-Malware (MBAM)

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 4 janvier 2009 par pear

[ChaotiCc`]

Oh noes! Revoila MBAM... Je le ferai en mode sans échec cette fois ^^

 

Premier rapport:

 

SmitFraudFix v2.388

 

Rapport fait à 14:57:24,25, dim. 04/01/2009

Executé à partir de C:\Program Files\SUPERAntiSpyware\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\PROGRA~1\FICHIE~1\Stardock\SDMCP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Lavasoft\Personal Firewall\lpfw.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\NTR global\NTRconnect\NTRconnect.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\vmnat.exe

C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\DNA\btdna.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

K:\HiJackThis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\config.ini PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gaming

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Gaming\LOCALS~1\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Gaming\Application Data

 

C:\Documents and Settings\Gaming\Application Data\Skinux PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Gaming\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

"Startup"="MCPSystemStartup"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Wireless LAN PCI 802.11 a/b/g adapter WN5401A - Miniport d'ordonnancement de paquets

DNS Server Search Order: 195.238.2.21

DNS Server Search Order: 195.238.2.22

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer=195.238.2.21,195.238.2.22

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer=195.238.2.21,195.238.2.22

HKLM\SYSTEM\CS3\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer=195.238.2.21,195.238.2.22

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Tu m'avais dit que le fichier process.exe n'était pas un virus, AntiVir n'a pas détecté ce fichier mais par contre il a détecté C:/Program Files/SUPERAntiSpyware/SmitfraudFix/Agent.OMZ.Fix.exe et je lui ai dit de mettre en quarantaine. J'ai vu ensuite que SmitfraudFix n'a pas trouvé C:/Program Files/SUPERAntiSpyware/SmitfraudFix/Agent.OMZ.Fix.exe.... Que dois-je faire?

Modifié le 4 janvier 2009 par ChaotiCc`

[pear]

Dans l'idéal, pour ne pas avoir ce genre de problème, on recommande de désactiver les protections lorsque l'on utilise des outils de désinfection.

J'avais cru le dire.

Désinstallez Super Antispyware.

N'oubliez pas de lancer l'option 2 (nettoyage) deSmitfraudfix.

Modifié le 4 janvier 2009 par pear

[ChaotiCc`]

Voila déjà le log de nettoyage de SmitfraudFix.

Je réinstalle MBAM et redémarre en mode sans échec...

 

SmitFraudFix v2.388

 

Rapport fait à 15:30:04,18, dim. 04/01/2009

Executé à partir de C:\Documents and Settings\Gaming\Bureau\Downloads\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\config.ini supprimé

C:\Documents and Settings\Gaming\Application Data\Skinux\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

 

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer=195.238.2.21,195.238.2.22

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer=195.238.2.21,195.238.2.22

HKLM\SYSTEM\CS3\Services\Tcpip\..\{FFDF520C-4E39-4EB9-9C92-B39F49517F43}: NameServer=195.238.2.21,195.238.2.22

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

"Startup"="MCPSystemStartup"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[ChaotiCc`]

Y'a pas une option pour supprimer son message? J'ai reposté mon précedent parce que je pensais qu'il était pas posté (j'étais sur la 1ere page ^^')

Modifié le 4 janvier 2009 par ChaotiCc`

[ChaotiCc`]

Bon... Même en mode sans échec, MBAM est excessivement lent. Malheureusement maintenant je n'aurais pas le temps de le laisser tourner...

Tu m'avais conseillé SUPERAntiSpyware pour cette raison... Pourquoi refaire un scan avec MBAM? :/

[pear]

Pourquoi refaire un scan avec MBAM?

 

Parce que c'est le meilleur.

 

Si vous craignez de manquer de temps, il se pourrait qu'il y ait un peu de nettoyage à faire.

Vous allez télécharger Combofix.

 

Renommer ComboFix seulement si on vous le demande

Dans certains cas, Ver Bagle, Rootkit Tdss par exemple,il est nécessaire de renommer ComboFix.exe avant le téléchargement pour traiter l' infection.

Désinstallez Combofix, s'il est sur votre machine.

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

Parfois des pages ne veulent pas se charger et il me met "Connexion réinitialisée" ou "Connexion interrompue".

 

Le message que vous donne Windows est souvent de type «connectivité limitée et inexistante »...

cela est d’autant plus rageant que votre carte détecte quand même le réseau Wifi su lequel vous voulez vous connecter...

Si vous avez le message "connectivité limitée ou inexistante" c'est parce que votre Modem Wifi,

votre routeur ne délivre pas d’adresse IP à votre PC.

 

Le problème peut avoir plusieurs origines :

- A) un pb au niveau du modem routeur wifi auquel cas il faut réinitialiser le modem en débranchant puis en le rebranchant ou voire lui remettre les paramètres usines.

On peut aussi faire un reboot en douceur par exemple pour le routeur Netgear DG834G

Par Internet Explorer, tapez dans la barre d'adresse (URL) : 192.168.0.1 puis ok

Puis renseignez les login et mots de passe à savoir par défaut :

 

Nom d'utilisateur : admin Mot de passe : password

 

Allez dans Maintenance puis Diagnostique et choisissez "Redémarrer" dans "Redémarrer le routeur"

Le routeur reboot et il suffira de retaper le nom utilisateur ainsi que le mot de passe...

 

B)Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

Clic sur le bouton Personnaliser le niveau...

Cocher tous les boutons radio Activer ou Demander.

Valider puis, relancer Internet Explorer.

Accéder de nouveau à l'onglet "Sécurité".

Cocher le bouton radio Niveau par défaut...

Valider puis, relancer Internet Explorer.

 

- C) un pb au niveau du protocole TCP/IP

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

 

Sous Vista:

 

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Cliquez sur Activer le contrôle des comptes d'utilisateurs.

 

D)Des sites peuvent être bloqués par unHosts modifié .

Pour savoir si le hosts est en cause:

 

. Installer un mini programme, HostsToggle: http://accs-net.com/hosts/HostsToggle/

Il permet d'activer ou de désactiver le hosts à volonté.

. Fermer les navigateurs.

. Utiliser HostsToggle pour désactiver le hosts ( un avertissement: "Hosts file disabled..." apparait).

. Relancer un navigateur et essayer d'accéder aux pages qui posent problèmes.

Si le fichier Hosts est bien en cause, supprimez le et installez en un autre.

 

 

Modifié le 4 janvier 2009 par pear

[ChaotiCc`]

Parce que c'est le meilleur.

 

Si vous craignez de manquer de temps, il se pourrait qu'il y ait un peu de nettoyage à faire.

Vous allez télécharger Combofix.

 

Renommer ComboFix seulement si on vous le demande

Dans certains cas, Ver Bagle, Rootkit Tdss par exemple,il est nécessaire de renommer ComboFix.exe avant le téléchargement pour traiter l' infection.

Désinstallez Combofix, s'il est sur votre machine.

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

 

 

Le message que vous donne Windows est souvent de type «connectivité limitée et inexistante »...

cela est d’autant plus rageant que votre carte détecte quand même le réseau Wifi su lequel vous voulez vous connecter...

Si vous avez le message "connectivité limitée ou inexistante" c'est parce que votre Modem Wifi,

votre routeur ne délivre pas d’adresse IP à votre PC.

 

Le problème peut avoir plusieurs origines :

- A) un pb au niveau du modem routeur wifi auquel cas il faut réinitialiser le modem en débranchant puis en le rebranchant ou voire lui remettre les paramètres usines.

On peut aussi faire un reboot en douceur par exemple pour le routeur Netgear DG834G

Par Internet Explorer, tapez dans la barre d'adresse (URL) : 192.168.0.1 puis ok

Puis renseignez les login et mots de passe à savoir par défaut :

 

Nom d'utilisateur : admin Mot de passe : password

 

Allez dans Maintenance puis Diagnostique et choisissez "Redémarrer" dans "Redémarrer le routeur"

Le routeur reboot et il suffira de retaper le nom utilisateur ainsi que le mot de passe...

 

B)Vérifier les paramètres d'Internet ...

 

1) Dans Internet Explorer, clique sur Outils > Options Internet... puis, onglet "Sécurité".

2) Choisir la zone Internet puis, clique sur le bouton Niveau par défaut.

 

Si cela ne fonctionne pas, essayer ceci

 

Clic sur le bouton Personnaliser le niveau...

Cocher tous les boutons radio Activer ou Demander.

Valider puis, relancer Internet Explorer.

Accéder de nouveau à l'onglet "Sécurité".

Cocher le bouton radio Niveau par défaut...

Valider puis, relancer Internet Explorer.

 

- C) un pb au niveau du protocole TCP/IP

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

 

Sous Vista:

 

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Cliquez sur Activer le contrôle des comptes d'utilisateurs.

 

D)Des sites peuvent être bloqués par unHosts modifié .

Pour savoir si le hosts est en cause:

 

. Installer un mini programme, HostsToggle: http://accs-net.com/hosts/HostsToggle/

Il permet d'activer ou de désactiver le hosts à volonté.

. Fermer les navigateurs.

. Utiliser HostsToggle pour désactiver le hosts ( un avertissement: "Hosts file disabled..." apparait).

. Relancer un navigateur et essayer d'accéder aux pages qui posent problèmes.

Si le fichier Hosts est bien en cause, supprimez le et installez en un autre.

 

 

 

Par rapport à mes pages (ce ne sont que certains sites) qui ne se chargent pas, ce n'est pas une "connectivité limitée ou inexistante", mais Firefox qui m'affiche "Connexion réinitialisée", "Délai d'attente dépassé" (comme il vient juste de m'arriver avec le forum) ou "Connexion interrompue". Souvent Firefox affiche d'abord la page genre sans images, pour ensuite m'afficher le message. Des fois je me dis que je devrais rafraichir la page parce que les images ne se chargent pas et la, le message s'affiche aussi...