Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rapport d'analyse de mon amie


Liloute

Messages recommandés

Ok, voici la prochaine étape. Le tout se fera en Sans Échec. L'orthographe sera très important, et le respect des espaces est vital (dans les lignes de commandes).

 

Faire une recherche pour ce fichier :

 

C:\Windows\system32\rdriv.sys << (on le virera plus tard s'il y est..)

 

Redémarre en Sans Échec ; clique sur "Démarrer" >> "Exécuter", puis tape cmd et clique Ok. Une fenêtre DOS apparaîtra. Tu dois taper chaque ligne ci-bas, et valider avec [Entrée] après chacune :

 

sc stop AIM [Entrée]

 

sc delete AIM [Entrée]

 

sc stop dxdmain [Entrée]

 

sc delete dxdmain [Entrée]

 

sc stop FAT Defragmentation [Entrée]

 

sc delete FAT Defragmentation [Entrée]

 

sc stop inetdns [Entrée]

 

sc delete inetdns [Entrée]

 

sc stop Java [Entrée]

 

sc delete Java [Entrée]

 

sc stop Locator [Entrée]

 

sc delete Locator [Entrée]

 

sc stop NetDDEsrv [Entrée]

 

sc delete NetDDEsrv [Entrée]

 

sc stop Print Spooler [Entrée]

 

sc delete Print Spooler [Entrée]

 

sc stop Rpcmon [Entrée]

 

sc delete Rpcmon [Entrée]

 

sc stop SMSC [Entrée]

 

sc delete SMSC [Entrée]

 

sc stop supermsg [Entrée]

 

sc delete supermsg [Entrée]

 

sc stop WinCon [Entrée]

 

sc delete WinCon [Entrée]

 

sc stop windows network [Entrée]

 

sc delete windows network [Entrée]

 

sc stop WinNet [Entrée]

 

sc delete WinNet [Entrée]

 

et... si rdriv.sys a été trouvé plus tôt :

 

sc stop rdriv [Entrée]

 

sc delete rdriv [Entrée]

 

exit [Entrée]

~~~~~~~~~~~~~~~~~~

 

Recherche et supprime ces fichiers en gras (si trouvés) :

 

 

C:\WINDOWS\System32\dxdmain.exe

C:\WINDOWS\System32\dfrgfat32.exe

C:\WINDOWS\System32\inetdns.exe

C:\WINDOWS\System32\winjava.exe

C:\WINDOWS\System32\wininit.exe

C:\WINDOWS\System32\netddesrv.exe

C:\WINDOWS\System32\spooler.exe

C:\WINDOWS\System32\Rpcmon.exe

C:\WINDOWS\System32\wincntrl.exe

C:\WINDOWS\System32\wincon.exe

C:\WINDOWS\System32\rdriv.sys << si trouvé

C:\WINDOWS\smsc.exe

C:\WINDOWS\lsass2.exe

C:\WINDOWS\nvcr32.exe

C:\WINDOWS\aim.exe

C:\WINDOWS\switps.dat

C:\WINDOWS\ubber60.ini

C:\WINDOWS\winsysupd51.dat

C:\WINDOWS\uniq << ce dossier

 

 

Redémarre en mode Normal. Scan avec HijackThis!, et poste le nouveau rapport. Merci !

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Voici le rapport Hijackthis fait en mode normal après avoir suivi a la lettre toutes tes manip!

 

 

Logfile of HijackThis v1.99.1

Scan saved at 00:23:23, on 08/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Ouff... Beaucoup de progrès !!

 

Certains services ont collé, donc on réessaie pour ceux-là :

 

Démarre en Sans Échec, puis clique sur "Démarrer" >> "Exécuter" et tape cmd et Ok ;

 

À l'invite de commande (fenêtre DOS), tape ces lignes et valide avec [Entrée] après chacune :

 

sc stop FAT Defragmentation [Entrée]

 

sc delete FAT Defragmentation [Entrée]

 

sc stop Print Spooler [Entrée]

 

sc delete Print Spooler [Entrée]

 

sc stop windows network [Entrée]

 

sc delete windows network [Entrée]

 

exit [Entrée]

~~~~~~~~~~

 

Recherche et supprime ces fichiers (si trouvés) :

 

C:\WINDOWS\System32\dfrgfat32.exe

C:\WINDOWS\System32\spooler.exe

C:\WINDOWS\nvcr32.exe

~~~~~~~~~~~~~~~~~~~

 

Toujours en Sans Échec, lance HijackThis! et fixe ces lignes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

 

R3 - Default URLSearchHook is missing

 

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

 

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

Après avoir cliqué "Fix checked", ferme HijackThis! et redémarre en Normal. Refait un nouveau scan, et poste le rapport ici :P

Lien vers le commentaire
Partager sur d’autres sites

Donc:

 

pour la commande dos, les choses a supprimer, elle n'a pas pu les supprimer: "ce service est pas installé"....

celles a supprimer, rien n'y été selon le chemin d'accés a suivre.....

après, pour les lignes à fixer, seulement 3 été présentes dans Hijackthis

 

Voici le rapport en mode normal:

 

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Ok... donc je vais devoir sortir un autre outil ! Allons-y...

 

Imprime ces instructions, ou colle les dans un fichier texte pour lecture en mode sans échec.

 

Télécharge les programmes suivants ; ne pas les lancer tout de suite !:

 

* rdrivRem.zip

  • Dézippe-le sur ton Bureau.
     
    Lance Ewido et fais sa mise à jour. Ferme le programme pour l'instant.

* CleanUp!

  • Sauvegarde-le sur ton Bureau.

Redémarre en mode Sans Échec.

 

1.) Ouvre le dossier rdrivrem et double-clique sur rdrivRem.bat pour lancer le programme - suis les instructions à l'écran. Une fois terminé, un fichier rdriv.txt sera créé dans le dossier rdrivRem.

 

2.) Lance Ewido et laisse-le tuer tous les fichiers infectés. Sauvegarde le rapport.

 

3.) Lance Cleanup! en double-cliquant Cleanup40.exe sur ton Bureau. Installe-le, puis lance le nettoyage.

**S'il te demande de redémarrer, clique NO.

 

4.) Lance HijackThis! et clique sur "Do a system scan only", puis coche ces lignes et ensuite clique sur FIX CHECKED:

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

 

R3 - Default URLSearchHook is missing

 

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

 

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

 

Ferme HijackThis!.

 

Redémarre ton PC normalement.

 

5.) Assure-toi que ton firewall fonctionne normalement, donc aucune boîtes "grises" ou options désactivées. Vérifie pour l'antivirus également (si tu peux activer/désactiver le bouclier résident et faire la MAJ..)

 

6.) Refais un scan en ligne chez Panda.

 

Sauvegarde le rapport généré par ActiveScan.

 

Poste le contenu du fichier rdriv.txt, le rapport d'Ewido, le rapport d'ActiveScan, et un nouveau rapport HijackThis! (mode Normal) dans ta prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

Voici les rapports:

 

 

Avec RDivRem en sans échec:

 

RDrivRem Log 2:45:52,64 08/02/2006

 

 

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

 

 

 

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

 

Ewido en normal: (il ne se lance pas en sans éhec):

 

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 03:58:21, 08/02/2006

+ Somme de contrôle: 7FFB2901

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\CLSID\{6E28339B-7A2A-47B6-AEB2-46BA53782359} -> Adware.Generic : Nettoyer et sauvegarder

HKLM\SOFTWARE\Classes\CLSID\{6E28339B-7A2A-47B6-AEB2-46BA53782379} -> Logger.Small.cz : Nettoyer et sauvegarder

C:\WINDOWS\Temp\ASHeuristic\pz[1]_exe.vir -> Proxy.Ranky.ek : Nettoyer et sauvegarder

C:\WINDOWS\Temp\ASHeuristic\alc_exe.vir -> Proxy.Ranky.ek : Nettoyer et sauvegarder

:mozilla.46:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.47:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.254:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.255:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.151:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.152:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.153:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.205:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.377:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.378:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.379:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.382:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt -> TrackingCookie.Adrevolver : Nettoyer et sauvegarder

:mozilla.311:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\Default User\wtu55xzg.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

:mozilla.312:C:\Sauve\Documents and Settings\DRAGON\Application Data\Mozilla\Profiles\Default User\wtu55xzg.slt\cookies.txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IBIZ2T45\pz[1].exe -> Proxy.Ranky.ek : Nettoyer et sauvegarder

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Nettoyer et sauvegarder

:mozilla.55:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-3.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

:mozilla.254:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.447:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.448:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.449:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.450:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.286:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.457:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.458:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.459:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.460:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

:mozilla.55:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-4.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

:mozilla.55:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-5.txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP5\A0016097.exe -> Backdoor.Aimbot.cc : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP5\A0016100.exe -> Backdoor.Aimbot.cc : Nettoyer et sauvegarder

C:\System Volume Information\_restore{73FA0109-2634-4D6E-9D48-C39ACE737CA1}\RP5\A0017086.EXE -> Backdoor.Aimbot.cc : Nettoyer et sauvegarder

C:\alc.exe -> Proxy.Ranky.ek : Nettoyer et sauvegarder

:mozilla.169:C:\FOUND.028\FILE0002.CHK -> TrackingCookie.Yadro : Nettoyer et sauvegarder

:mozilla.190:C:\FOUND.028\FILE0002.CHK -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

:mozilla.33:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.34:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

:mozilla.37:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

:mozilla.63:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Weborama : Nettoyer et sauvegarder

:mozilla.70:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Valueclick : Nettoyer et sauvegarder

:mozilla.76:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

:mozilla.84:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Comclick : Nettoyer et sauvegarder

:mozilla.107:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.109:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Adtech : Nettoyer et sauvegarder

:mozilla.171:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Pointroll : Nettoyer et sauvegarder

:mozilla.173:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Questionmarket : Nettoyer et sauvegarder

:mozilla.174:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

:mozilla.175:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Googleadservices : Nettoyer et sauvegarder

:mozilla.176:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Sexcounter : Nettoyer et sauvegarder

:mozilla.179:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Falkag : Nettoyer et sauvegarder

:mozilla.190:C:\FOUND.038\FILE0000.CHK -> TrackingCookie.Statcounter : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Le scanActivescan avec Panda en ligne en mode normal:

 

Incident

Statut Analyse

 

Outil indésirable:Application/Pskill.A

No Désinfecté C:\WINDOWS\pskill.exe

Adware:adware/cws.searchmeup

No Désinfecté C:\WINDOWS\uniq

Adware:adware/dollarrevenue

No Désinfecté C:\WINDOWS\drsmartload2.dat

Spyware:Cookie/Xiti

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Application

Data\Mozilla\Firefox\Profiles\m1dniwyi.default\cookies.txt[]

Spyware:Cookie/Xiti

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Application

Data\Mozilla\Profiles\default\hu9pjgej.slt\cookies.txt[]

Spyware:Cookie/Xiti

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Application Data\Mozilla\Profiles\Default

User\wtu55xzg.slt\cookies.txt[]

Spyware:Cookie/Humanclick

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Application Data\Mozilla\Profiles\Default

User\wtu55xzg.slt\cookies.txt[72914031]

Spyware:Cookie/Com.com

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Cookies\[email protected][2].txt

Spyware:Cookie/TopRebates.com

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Cookies\[email protected][1].txt

Spyware:Cookie/empnads

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Cookies\dragon@empnads[1].txt

Spyware:Cookie/Advnt

No Désinfecté C:\Sauve\Documents and

Settings\DRAGON\Cookies\[email protected][1].txt

Outil indésirable:Application/MyWay

No Désinfecté C:\Sauve\Program

Files\MySearch\bar\1.bin\S42NS.EXE

Adware:adware/securityerror

No Désinfecté C:\Documents and

Settings\Utilisateur\Favoris\Antivirus Test Online.url

Outil indésirable:Application/Processor

No Désinfecté C:\Documents and

Settings\Utilisateur\Bureau\SmitfraudFix.zip[Process.exe]

Outil indésirable:Application/Processor

No Désinfecté C:\Documents and

Settings\Utilisateur\Bureau\SmitfraudFix\Process.exe

Spyware:Cookie/Serving-sys

No Désinfecté C:\Documents and

Settings\Utilisateur\Cookies\utilisateur@serving-sys[2].txt

Spyware:Cookie/Bluestreak

No Désinfecté C:\Documents and

Settings\Utilisateur\Cookies\utilisateur@bluestreak[1].txt

Spyware:Cookie/Xiti

No Désinfecté C:\Documents and

Settings\Utilisateur\Application

Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-1.txt[]

Spyware:Cookie/Xiti

No Désinfecté C:\Documents and

Settings\Utilisateur\Application

Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-2.txt[]

Spyware:Cookie/Maxserving

No Désinfecté C:\Documents and

Settings\Utilisateur\Application

Data\Mozilla\Firefox\Profiles\l6ptnviv.default\cookies-7.txt[]

 

 

et un rapport Hijackthis en normal:

 

Logfile of HijackThis v1.99.1

Scan saved at 10:50:30, on 08/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\windows\System32\smss.exe

C:\windows\SYSTEM32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\windows\System32\svchost.exe

C:\windows\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\windows\system32\inetdns.exe

C:\docs.exe

C:\docs.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: CD-MENU.LNK = ?

O4 - Startup: OpenOffice.org 1.1.5.lnk = C:\Program Files\OpenOffice.org1.1.5\program\crashrep.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: network monitoring tools (windows network) - Unknown owner - C:\WINDOWS\nvcr32.exe (file missing)

Lien vers le commentaire
Partager sur d’autres sites

Ils sont coriaces... :P

 

Ok, on vire quelques pestes, et puis on passe un nouveau scan :

 

Recherche et supprime ces fichiers/dossiers (si trouvés) :

 

C:\WINDOWS\drsmartload2.dat << fichier

C:\WINDOWS\uniq << dossier ? ou fichier...peut importe..

=========================

 

Nous allons maintenant passer un outil antivirus assez puissant : eScan

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un nouveau rapport HijackThis!

 

Bon courage :P

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...