thasc.exe et lecteur disquette

Angevil · le 25 mai 2011

Bonjour,

après avoir reçu un mail douteux, j'ai (par grande mégarde)ouvert le contenu de la pièce jointe. Il s'agissait d'un fichier vbs qui a téléchargé le fichier "thasc.exe" du site myohrid. Les symptômes ne se sont pas fait attendre: toutes les dix secondes mon lecteur disquette grince. Par contre, nod32 n'a pas du tout réagi face à l'infection et j'ai déjà effectué un nettoyage avec Ccleaner en mode sans echec. De plus, je ne vois pas grand chose de suspect dans mon log Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 16:57:44, on 25/05/2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:

C:\WINDOW\System32\smss.exe

C:\WINDOW\system32\winlogon.exe

C:\WINDOW\system32\services.exe

C:\WINDOW\system32\lsass.exe

C:\WINDOW\system32\svchost.exe

C:\WINDOW\System32\svchost.exe

C:\WINDOW\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Steganos Internet Anonym VPN\AVPNStarter.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOW\system32\cisvc.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOW\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOW\System32\svchost.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\WINDOW\System32\nvsvc32.exe

C:\WINDOW\System32\svchost.exe

C:\WINDOW\system32\PnkBstrA.exe

C:\WINDOW\System32\svchost.exe

C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

C:\WINDOW\Explorer.EXE

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOW\SOUNDMAN.EXE

C:\WINDOW\system32\RUNDLL32.EXE

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\WINDOW\System32\svchost.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe

C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOW\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\MagicDisc\MagicDisc.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOW\system32\wuauclt.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\25078.EXE

C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\29815.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\WINDOW\system32\wuauclt.exe

C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 74.208.105.171 gs.apple.com

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-6A26FCF59C02} - mscoree.dll (file missing)

O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOW\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOW\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [windows_defender] C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOW\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [windows_defender] C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe

O4 - HKCU\..\Run: [{68B8DD3D-4578-72EB-F2F5-054BA9A88F31}] "C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe"

O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe

O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOW\System32\shdocvw.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOW\System32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.blackberry.com/devicesoftware/AxLoader.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C}: NameServer = 8.8.8.8,8.8.4.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: ??????P

O20 - Winlogon Notify: pmnmnOfG - C:\WINDOW\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOW\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -r (file missing)

O23 - Service: Steganos Anonym VPN Starter Service (AVPNStarter) - Unknown owner - C:\Program Files\Steganos Internet Anonym VPN\AVPNStarter.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOW\System32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOW\system32\PnkBstrA.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

Merci d'avance pour votre aide.

Cordialement.

Apollo · le 25 mai 2011

Bonjour,

après avoir reçu un mail douteux, j'ai (par grande mégarde)ouvert le contenu de la pièce jointe.

1) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

2) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.

Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.

(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Envoie une copie du rapport RKreport[1].txt.

Si les raccourcis ont disparu, relance l'outil en mode 6.

Envoie une copie du rapport RKreport[2].txt.

Autres options:

3. Réinitialiser le Hosts. <<< A utiliser également dans ton cas

4. Supprimer les proxy.

5. Réinitialiser DNS.

6. Réapparition raccourcis.

@++

Angevil · le 25 mai 2011

Après un coup de TFC et une analyse complète de l'antivirus en mode sans échec, je n'ai plus de soucis. Voici cependant les rapports demandés:

RKreport[1]:

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Josh Five [Droits d'admin]

Mode: Recherche -- Date : 25/05/2011 18:37:48

Processus malicieux: 2

[sUSP PATH] SOUNDMAN.EXE -- c:\window\soundman.exe -> KILLED

[RESIDUE] GoogleUpdate.exe -- c:\documents and settings\josh five.family-computer\local settings\application data\google\update\googleupdate.exe -> KILLED

Entrees de registre: 11

[sUSP PATH] HKCU\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> FOUND

[sUSP PATH] HKCU\[...]\Run : {68B8DD3D-4578-72EB-F2F5-054BA9A88F31} ("C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe") -> FOUND

[sUSP PATH] HKLM\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-19[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-20[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-1844237615-963894560-725345543-1004[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-1844237615-963894560-725345543-1004[...]\Run : {68B8DD3D-4578-72EB-F2F5-054BA9A88F31} ("C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe") -> FOUND

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004UA.job : c:\documents and settings\josh five.family-computer\local -> FOUND

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004Core.job : c:\documents and settings\josh five.family-computer\local -> FOUND

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> FOUND

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> FOUND

Fichier HOSTS:

127.0.0.1 localhost

74.208.105.171 gs.apple.com

127.0.0.1 myohrid.com

Termine : << RKreport[1].txt >>

RKreport[1].txt

-------------------------------------------------------------------------------

RKreport[2]:

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Josh Five [Droits d'admin]

Mode: Suppression -- Date : 25/05/2011 18:38:16

Processus malicieux: 0

Entrees de registre: 9

[sUSP PATH] HKCU\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> DELETED

[sUSP PATH] HKCU\[...]\Run : {68B8DD3D-4578-72EB-F2F5-054BA9A88F31} ("C:\Documents and Settings\Josh Five.FAMILY-COMPUTER\Application Data\Xalyu\gyowm.exe") -> DELETED

[sUSP PATH] HKLM\[...]\Run : windows_defender (C:\DOCUME~1\JOSHFI~1.FAM\LOCALS~1\Temp\svchost.exe) -> DELETED

[bLACKLIST DLL] HKUS\S-1-5-19[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> DELETED

[bLACKLIST DLL] HKUS\S-1-5-20[...]\Run : zebirurolu (Rundll32.exe "C:\WINDOW\system32\jamijogu.dll",s) -> DELETED

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004UA.job : c:\documents and settings\josh five.family-computer\local -> ERROR

[sUSP PATH] GoogleUpdateTaskUserS-1-5-21-1844237615-963894560-725345543-1004Core.job : c:\documents and settings\josh five.family-computer\local -> ERROR

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{261D2EBC-4A57-40CC-9C5D-17F082C8CF8C} : NameServer (8.8.8.8,8.8.4.4) -> NOT REMOVED, USE DNSFIX

Fichier HOSTS:

127.0.0.1 localhost

74.208.105.171 gs.apple.com

127.0.0.1 myohrid.com

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

Merci pour le coup de main, et la rapidité des réponses

Apollo · le 25 mai 2011

Ne sois pas si pressé, c'est pas fini.

NOT REMOVED, USE DNSFIX

Relance rogue killer et utilise l'option 3.

---------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

Connexion

Pas encore inscrit ?

thasc.exe et lecteur disquette

Messages recommandés

Angevil

Apollo

Angevil

Apollo

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer