Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection SpyFalcon


BaK

Messages recommandés

Hello!

 

Comme convenu dans ce post, voici le rapport HJT de mon pote:

 

Logfile of HijackThis v1.99.1
Scan saved at 16:06:26, on 11.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\EzButton\CplBTQ00.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\Toshiba Controls\CpRmtKey.EXE
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\C-CHANNEL\MyPen Pro\MyPenPro.exe
C:\Program Files\Softwin\BitDefender8\vsserv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Clairette\Bureau\Securite\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MyPen Pro.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - https://connect.nestle.biz/dana-cached/setup/NeoterisSetup.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O20 - AppInit_DLLs:  sockspy.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

J'attends vos avis, merci! :P

 

J'en étais resté a essayer de supprimer ce dxmpp.dll, qui me resistait même en mode sans échec...

 

++

Modifié par BaK
Lien vers le commentaire
Partager sur d’autres sites

Salut Bak,

 

 

Je suppose que tu as lu le post de S!ri concernant l'éradication de Spyfalcon.

 

Bizarre que dxmpp.dll ne peut-être supprimé en mode sans échec.

 

Essaye de le supprimer avec la killbox :

 

-Téléchage ce soft à cette adresse: http://www.downloads.subratam.org/KillBox.zip

-Une fois lancé, recherche le fichier dxmpp.dll (dans le champ "full path or file to delete") --> pasdenom9iy.jpg

 

- Coche la ligne "delete on reboot"

- Supprime le fichier --> dsds3ru.jpg

- Redémarre

 

 

En espérant que ça fonctionne... :P

 

Edit: Une fois le fichier supprimé (normalement :P), supprime le dossier C:\program files\spyfalcon\

 

Puis applique la procédure temporaire de Qc001:

 

Fais un clic-droit sur le lien suivant Fixsf.reg: (de Grinler) ;

 

..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau.

 

- Redémarre en Sans Échec.

 

- Va dans "Ajout/Suppression de programmes" (Panneau de config) et désinstalle SpyFalcon s'il s'y trouve encore

 

- Double-clique FixSF.reg, et accepte la fusion.

 

- Assure-toi que ce fichier et dossier ont bien été supprimés :

C :\Windows\System32\dxmpp.dll << fichier

C:\Program Files\SpyFalcon << dossier

 

- Lance SmitRem à nouveau (double-clique RunThis.bat), et laisse-le faire son travail.

 

 

Sinon, au niveau de l'utilisation de smitrem:

 

-Télécharge l'outil smitrem ici

-Dézippe l'archive smitrem.zip sur ton bureau

-Double clique sur le fichier décompressé

-Un dossier "smitrem" est alors crée sur ton bureau

 

-Redémarre ensuite en mode sans échec

-Dans ta session courante, ouvre le dossier "smitrem" puis double clique sur Runthis.bat

-Accepte à chaque fois

-Une fois le boulot de Smitrem terminé (recherche + suppression des fichiers), redémarre en mode normal

-Le rapport de Smitrem correspond au fichier C:\smitfiles.txt

 

Poste celui-ci.

 

 

Bon sinon il n'y a apparemment rien d'autre d'infectieux sur ton rapport, j'éditerais si c'est le cas.

 

A+

Modifié par tornado
Lien vers le commentaire
Partager sur d’autres sites

Salut Tornado!

 

Et merci pour ta réponse, je connaissais pas ce logiciel KillBox! :-P

J'avais pensé passer par un CD Linux pour supprimer ce dll! :P

 

Néanmoins,

Bak : la procédure proposée pour filip_net dans l'autre topic a été adaptée pour lui. Il avait déjà passé quelques outils. Poste un rapport HijackThis! du PC de ton pote, et on va lui monter une procédure juste pour lui, bien expliquée et simple à appliquer. Merci :P

je vais attendre de voir ce que Qc001 (ou autre) pense du log HJT, histoire de faire les choses dans l'ordre comme il le propose!

 

++

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir vous deux ; je vois que ça bosse fort par ici :P

 

KillBox est effectivement très efficace, et très utile pour virer ce dll de SpyFalcon. Grinler vient de modifier sa manip un brin, donc voici la suite pour toi, Bak :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau.

Double-clique le fichier afin d'en extraire le contenu sur ton Bureau (dossier nommé smitRem).

Utilisant Internet Explorer, place un raccourci vers Panda ActiveScan sur ton Bureau (ouvre la page d'ActiveScan ; clique sur le menu "Ficher" >> "Envoyer" >> "Raccourci vers le Bureau").

 

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne pas lancer le scan tout de suite.

 

Fais un clic-droit sur le lien suivant FixSF.reg : (de Grinler) ;

 

..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau.

 

Lance le fichier Fixsf.reg (double-clique), et accepte la fusion.

 

- Redémarre en Sans Échec.

 

- Assure-toi que ce fichier et dossier ont bien été supprimés :

C :\Windows\System32\dxmpp.dll << fichier

C:\Program Files\SpyFalcon << dossier

 

- Lance HijackThis!, clique "Do a system scan only", puis coche cette ligne (si présente) et clique FIX CHECKED:

 

O4 - HKLM\..\Run: [spyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

 

Ferme HijackThis!

 

- Ouvre le dossier smitRem, puis double-clique RunThis.bat afin de lancer l'outil. Suis les instructions à l'écran : accepte la désinstallation de programmes rogues - si suggérée - ainsi que la réparation du registre.

Attends que l'outil termine, ainsi que "Disk cleanup".

 

Un rapport nommé smitfiles.txt sera créé à la racine du disque principal (habituellement le C:, donc le rapport sera à C:\smitfiles.txt)

 

Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

Ensuite : va dans le Panneau de Configuration et double-clique sur "Affichage" >> onglet "Bureau" >> clique le bouton "Personnalisation du Bureau.." >> onglet "Web" >> Décoche "Security Info" si présent.

 

Redémarre ton PC en mode Normal, puis double-clique le raccourci vers Panda ActiveScan ;

- Clique sur Analysez votre PC

- Suis les instructions, et fournis les informations exigées (adresse email, pays, etc...)

- Choisis le scan des "Disques locaux"

- Sauvegarde le rapport généré sur ton Bureau

 

Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis!, le contenu de smitfiles.txt et le rapport d'Ewido dans ta prochaine réponse.

Modifié par Qc001
Lien vers le commentaire
Partager sur d’autres sites

Re

 

Voilà les rapports suite à la désinfection proposée par Qc001:

 

HJT:

Logfile of HijackThis v1.99.1

Scan saved at 20:31:40, on 12.02.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

C:\Program Files\EzButton\CplBTQ00.EXE

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Toshiba Controls\CpRmtKey.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\C-CHANNEL\MyPen Pro\MyPenPro.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Documents and Settings\Clairette\Bureau\Securite\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [CpRmtKey] "C:\Program Files\Toshiba Controls\CpRmtKey.EXE"

O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MyPen Pro.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - https://connect.nestle.biz/dana-cached/setu...oterisSetup.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - AppInit_DLLs: sockspy.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

Panda:

Incident Statut Analyse

 

Adware:Adware/SpywareStrike No Désinfecté C:\Documents and Settings\Clairette\Bureau\Securite\backups\backup-20060209-205131-782.dll

Adware:Adware/SpywareStrike No Désinfecté C:\Documents and Settings\Clairette\Bureau\Securite\backups\backup-20060209-213400-109.dll

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Clairette\Bureau\Securite\smitRem.exe[Process.exe]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Clairette\Bureau\smitRem\Process.exe

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Clairette\Cookies\clairette@xiti[1].txt

Adware:adware/secure32 No Désinfecté C:\WINDOWS\country.exe

Adware:adware/cws.searchmeup No Désinfecté C:\WINDOWS\kl.exe

Adware:adware/isearch No Désinfecté C:\WINDOWS\tool2.exe

 

SmitFiles:

smitRem © log file

version 2.8

 

by noahdfear

 

 

Microsoft Windows XP [version 5.1.2600]

 

Running from

C:\Documents and Settings\Clairette\Bureau\smitRem

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Pre-run SharedTask Export

 

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)

Copyright© 2006 BleepingComputer.com

 

Registry Pseudo-Format Mode (Not a valid reg file):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

checking for ShudderLTD key

 

ShudderLTD key not present!

 

checking for PSGuard.com key

 

 

PSGuard.com key not present!

 

 

checking for WinHound.com key

 

 

WinHound.com key not present!

 

spyaxe uninstaller NOT present

Winhound uninstaller NOT present

SpywareStrike uninstaller NOT present

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Existing Pre-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

1024 dir

msvol.tlb

ncompat.tlb

hp***.tmp

 

 

~~~ Icons in System32 ~~~

 

ts.ico

ot.ico

 

 

~~~ Windows directory ~~~

 

secure32.html

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 720 'explorer.exe'

Killing PID 720 'explorer.exe'

 

Starting registry repairs

 

Registry repairs complete

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

SharedTask Export after registry fix

 

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)

Copyright© 2006 BleepingComputer.com

 

Registry Pseudo-Format Mode (Not a valid reg file):

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Deleting files

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Remaining Post-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

 

 

~~~ Icons in System32 ~~~

 

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

~~~ Wininet.dll ~~~

 

CLEAN! :-(

 

Ewido:

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 20:09:30, 12.02.2006

+ Somme de contrôle: F78480D

 

+ Résultats du scan:

 

C:\Documents and Settings\Clairette\Cookies\clairette@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\Clairette\Cookies\clairette@clickbank[2].txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder

C:\Documents and Settings\Clairette\Cookies\clairette@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Clairette\Cookies\clairette@ehg-microsoft.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

C:\Documents and Settings\Clairette\Cookies\clairette@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyer et sauvegarder

C:\Documents and Settings\Clairette\Cookies\clairette@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder

C:\Documents and Settings\Clairette\Cookies\clairette@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

HJT et SmitFiles ont l'air ok :-P , par contre Panda et Ewido ont encore des traces d'infection visiblement :P

 

Au niveau de SpyFalcon ça a l'air enfin ok, fini le popup! :P

 

J'attends vos conseils pour la suite, encore merci a+ :P

Lien vers le commentaire
Partager sur d’autres sites

Beau travail Bak :P

 

Quelques restants, et c'est tout !

 

Recherche et supprime ces fichiers :

 

C:\WINDOWS\country.exe

C:\WINDOWS\kl.exe

C:\WINDOWS\tool2.exe

 

Si tu ne les vois pas, alors modifie ces options afin de bien voir les fichiers cachés :

 

- Lance l'Explorateur Windows (clic-droit sur "Démarrer" >> "Explorer")

- Clique le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage"

- Coche "Afficher le contenu des dossiers système"

- Active "Afficher les fichiers et dossiers cachés"

- Décoche "Masquer les extensions des fichiers dont le type est connu"

- Clique Ok

 

Le reste est propre.

===========================

 

Désactive, puis réactive ta Restauration Système selon ces instructions :

http://www.libellules.ch/desactiver_restauration.php

 

A présent, quelques conseils de sécurité :

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)

- une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)

 

- scan hebdomadaire antispyware

 

Pour en savoir plus, consulte la page de ipl_001

http://gerard.melone.free.fr/IT/IT-AM0.html

 

Tu dois également installer les outils suivants:

 

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

-=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

 

 

 

-=> Un vrai pare-feu (pas le joujou offert avec XP)

 

-Kerio

-Zone Alarm

-Sygate Personal Firewall Free

 

tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487252

 

 

-=> SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

-=> Ad-awareSE

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

 

-=> SpyBot-Search & Destroy

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

 

-=> a² free (anti-trojans)

 

- Téléchargement : http://www.emsisoft.net/fr/software/free/

Il est nécessaire de s enregistrer sur le site pour pouvoir utiliser et avoir les mises a jour du logiciel!

 

-=> ZebProtect

 

http://www.zebulon.fr/articles/zebprotect.php

http://telechargement.zebulon.fr/123.html

 

Heureux d'avoir pu t'aider, et bon surf :P

Lien vers le commentaire
Partager sur d’autres sites

Héhé merci! Mais le mérite reviens à celui :-( qui m'a proposé une marche à suivre "pas à pas"! :P

 

Ok pour supprimer les 3 .exe

 

Pour ce qui est des cookies trouvés par Ewido, je présume que c'est sans danger...

 

Je transmet tous les conseils de sécurité à mon pote, je ne lui avais indiqué que Firefox pour l'instant! :-P

 

 

Encore un grand merci Qc001, sympa d'avoir pris le temps de nous aiguiller comme tu l'as fait! :P

 

++

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir vous deux ; je vois que ça bosse fort par ici :-P

 

KillBox est effectivement très efficace, et très utile pour virer ce dll de SpyFalcon. Grinler vient de modifier sa manip un brin, donc voici la suite pour toi, Bak :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau.

Double-clique le fichier afin d'en extraire le contenu sur ton Bureau (dossier nommé smitRem).

Utilisant Internet Explorer, place un raccourci vers Panda ActiveScan sur ton Bureau (ouvre la page d'ActiveScan ; clique sur le menu "Ficher" >> "Envoyer" >> "Raccourci vers le Bureau").

 

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Ne pas lancer le scan tout de suite.

 

Fais un clic-droit sur le lien suivant FixSF.reg : (de Grinler) ;

 

..et choisis "Enregistrer la cible sous...", et sauvegarde-le sur ton Bureau.

 

Lance le fichier Fixsf.reg (double-clique), et accepte la fusion.

 

- Redémarre en Sans Échec.

 

- Assure-toi que ce fichier et dossier ont bien été supprimés :

C :\Windows\System32\dxmpp.dll << fichier

C:\Program Files\SpyFalcon << dossier

 

- Lance HijackThis!, clique "Do a system scan only", puis coche cette ligne (si présente) et clique FIX CHECKED:

 

O4 - HKLM\..\Run: [spyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

 

Ferme HijackThis!

 

- Ouvre le dossier smitRem, puis double-clique RunThis.bat afin de lancer l'outil. Suis les instructions à l'écran : accepte la désinstallation de programmes rogues - si suggérée - ainsi que la réparation du registre.

Attends que l'outil termine, ainsi que "Disk cleanup".

 

Un rapport nommé smitfiles.txt sera créé à la racine du disque principal (habituellement le C:, donc le rapport sera à C:\smitfiles.txt)

 

Lance Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

 

Ensuite : va dans le Panneau de Configuration et double-clique sur "Affichage" >> onglet "Bureau" >> clique le bouton "Personnalisation du Bureau.." >> onglet "Web" >> Décoche "Security Info" si présent.

 

Redémarre ton PC en mode Normal, puis double-clique le raccourci vers Panda ActiveScan ;

- Clique sur Analysez votre PC

- Suis les instructions, et fournis les informations exigées (adresse email, pays, etc...)

- Choisis le scan des "Disques locaux"

- Sauvegarde le rapport généré sur ton Bureau

 

Poste le rapport de Panda, ainsi qu'un nouveau rapport HijackThis!, le contenu de smitfiles.txt et le rapport d'Ewido dans ta prochaine réponse.

 

 

Bonjour,

Pouvez-vs m'aider svp.

J'ai moi aussi été infectée par spyfalcon.

En fait, depuis l'achat de mon PC, j'ai pris la MAUVAISE HABITUDE de laisser tout le monde et n'importe qui s'en servir pour rendre service... Naïve comme je suis, je me disais que personne n'oserai faire des manips dangeureuses ou des visites douteuses de chez moi (en ce ki me concerne c kom ca que je fonctionne mais c pas le k de tout le monde apparement). :-(

Bref, j'ai de plus en plus de fenetres publicitaires sur des mobiles, des casinos, ou des sites de rencontre + ou - douteux qui m'envahissent, et maintenant, SPYFALCON s'est installé et ne me laisse pas tranquille + de 5 minutes.

En gros: JE CRAQUE!!! :P:P:-P

 

Du coup, je me suis inspirée de votre conseil adresssé à Bak pour me debarrasser de spyfalcon (en fait j'ai suivi les étapes A LA LETTRE) et c'est vrai que je ne suis plus genée par les pop-up. :-P

 

En revanche, pouvez- vous me dire quoi faire à présent ( ci joint les rapports) :P:P

 

Panda:

 

 

Incident Statut Analyse

 

Outil indésirable:application/mywebsearch No Désinfecté C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Propriétaire\Bureau\smitRem.exe[Process.exe]

Spyware:Cookie/Clubdicecasino No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@clubdicecasino[1].txt

Spyware:Cookie/WinFixer No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@winfixer[2].txt

Spyware:Cookie/Spytrooper No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@www.spytrooper[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@xiti[1].txt

Adware:adware/securityerror No Désinfecté C:\Documents and Settings\HP_Propriétaire\Favoris\Antivirus Test Online.url

Outil indésirable:Application/WinAntivirus No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\NI.UWA6P_0001_N56M1011\setup.exe

Adware:Adware/SpyFalcon No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\sa1.exe

Adware:Adware/SpyFalcon No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\sa170.exe

Adware:Adware/SpyFalcon No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\sa2A0.exe

Adware:Adware/SpyFalcon No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\sa3E5.exe

Adware:Adware/SpyFalcon No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\sa401.exe

Adware:Adware/SpyFalcon No Désinfecté C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\saE3.exe

Adware:Adware/IST.ISTBar No Désinfecté C:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\(cam) blue guilty.ace[setup.exe]

Adware:Adware/IST.ISTBar No Désinfecté C:\Documents and Settings\HP_Propriétaire\Mes documents\Downloads\blue guilty.ace[setup.exe]

Joke:Joke/MouseShoot No Désinfecté C:\Documents and Settings\HP_Propriétaire\Mes documents\mails\Souris.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\HP_Propriétaire\smitRem\Process.exe

Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe

Security Risk:HackTool/Gendel.A No Désinfecté C:\Patisserie\setup\gendel32.ex_

Outil indésirable:Application/Winantivirus2006 No Désinfecté C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\WapCHK.dll

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MSN Messenger\riched20.dll

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3CJPEG.DLL

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3DTACTL.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3HTTPCT.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3PSSAVR.SCR

Outil indésirable:Application/FunWeb No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3RESTUB.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3SCHMON.EXE

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\F3WPHOOK.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3HTML.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3IDLE.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\M3SKIN.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\MWSOEPLG.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\1.bin\NPMYWEBS.DLL

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\Game\CHECKERS.F3S

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\Game\CHESS.F3S

Outil indésirable:Application/MyWebSearch No Désinfecté C:\Program Files\MyWebSearch\bar\Game\REVERSI.F3S

Dialer:dialer.b No Désinfecté C:\WINDOWS\Downloaded Program Files\EGAUTH.inf

Outil indésirable:Application/FunWeb No Désinfecté C:\WINDOWS\Downloaded Program Files\f3initialsetup1.0.0.15.inf

Outil indésirable:Application/MyWebSearch No Désinfecté C:\WINDOWS\system32\f3PSSavr.scr

Adware:adware/navipromo No Désinfecté C:\WINDOWS\system32\msegcompid.dll

Dialer:Dialer.FWJ No Désinfecté C:\WINDOWS\system32\syswbsvc32.dll

 

 

HIJACKTHIS:

 

Logfile of HijackThis v1.99.1

Scan saved at 07:30:51, on 16/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\hphmon06.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\AGRSMMSG.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\WINDOWS\VM_STI.EXE

C:\windows\system32\uxmowprt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\RamBoost XP\rambxpfr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Club-Internet\Docteur Club Internet\bin\mpbtn.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Program Files\Microsoft Works\WkDStore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\HP_Propriétaire\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [uxmowprt] c:\windows\system32\uxmowprt.exe uxmowprt

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [MSys32] "C:\Program Files\Morfit\Secret Mission ep1\morfitwebentrance.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [boontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /boot

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eChanblard\emule.exe -AutoStart

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe C:\WINDOWS\eg_auth_1049.dll,InstantAccess /L

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Docteur Club Internet\bin\matcli.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZNxdm414YYFR

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://*.reliablestats.com

O15 - Trusted Zone: http://*.winantispyware.com

O15 - Trusted Zone: http://*.winantivirus.com

O15 - Trusted Zone: http://*.winantiviruspro.com

O15 - Trusted Zone: http://*.winnanny.com

O15 - Trusted Zone: http://*.winsoftware.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130859088093

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1132354513187

O16 - DPF: {8B3B8135-9DAA-40E7-8941-962795F9C1CB} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{938D1B8B-660D-4E2E-8994-B4320F9D81AC}: NameServer = 192.168.1.1,194.117.200.10

O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\CDS300\__CDS2.dll (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - rundll32.exe (file missing)

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

 

EDWIDO

 

-------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 01:37:03, 16/02/2006

+ Somme de contrôle: 50637BD6

 

+ Résultats du scan:

 

HKLM\SOFTWARE\Classes\CLSID\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Nettoyer et sauvegarder

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-1385110484-2382537456-561574899-1007\Software\EGDHTML -> Dialer.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-1385110484-2382537456-561574899-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Nettoyer et sauvegarder

HKU\S-1-5-21-1385110484-2382537456-561574899-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Nettoyer et sauvegarder

HKU\S-1-5-21-1385110484-2382537456-561574899-1007\Software\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Nettoyer et sauvegarder

HKU\S-1-5-21-1385110484-2382537456-561574899-1007_Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\data -> Downloader.IstBar.nh : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@2o7[2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@wreport.weborama[2].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@zedo[1].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\KD0NIZIN\ErrorSafeScannerInstallFR[1].cab/UERSV_0001_N68M0602NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\blacklist.txt -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\Lang -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\Lang\English.ini -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\Logs -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\msvcp71.dll -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\msvcr71.dll -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\Quarantine -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\sf.ini -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\SpyFalcon.exe -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\SpyFalcon.url -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\syg.db -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\Program Files\SpyFalcon\uninst.exe -> Adware.SpyFalcon : Nettoyer et sauvegarder

C:\WINDOWS\eg_auth_1049.dll -> Trojan.P2E.cl : Nettoyer et sauvegarder

C:\WINDOWS\p2esocks_1049.dll -> Trojan.P2E.cl : Nettoyer et sauvegarder

C:\WINDOWS\system32\1024\ld1905.tmp -> Dropper.Small.amb : Nettoyer et sauvegarder

C:\WINDOWS\system32\1024\ldBBCF.tmp -> Dropper.Small.amb : Nettoyer et sauvegarder

C:\WINDOWS\system32\drivers\df_kmd.sys -> Rootkit.Agent.af : Nettoyer et sauvegarder

C:\WINDOWS\system32\eg_auth_srv_1049.dll -> Trojan.P2E.cl : Nettoyer et sauvegarder

C:\WINDOWS\system32\hp42A4.tmp -> Downloader.Zlob.go : Nettoyer et sauvegarder

C:\WINDOWS\system32\hp7288.tmp -> Downloader.Zlob.go : Nettoyer et sauvegarder

C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\WINDOWS\system32\mssearchnet.exe -> Hijacker.SpyAxe : Nettoyer et sauvegarder

C:\WINDOWS\system32\nvctrl.exe -> Hijacker.SpyAxe : Nettoyer et sauvegarder

C:\WINDOWS\system32\sf\dxmpp.dll -> Not-A-Virus.Hoax.Win32.Renos.bi : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

Par contre, pas moyen de mettre la main sur le fichier "SMITFILES.TXT"!

 

 

Pouvez-vous me dire comment faire pour me debarrasser definitivement de Spyfalcon (et des autres pollueurs si possible) SVP? :-P:-P:-P

 

Merci!

 

 

Lyd91

Lien vers le commentaire
Partager sur d’autres sites

  • Modérateurs

Bonjour Lyd91 :-(

 

Evite de poster ta demande de rapport à la suite d'une autre demande, il vaut mieux poster une demande d'analyse pour toi uniquement. Fais attention également à ne pas forcément appliquer ce qui est indiqué pour quelqu'un d'autre. Même si dans la majorité des cas, la démarche est la même pour tout le monde, il pourrait arriver qu'un conseil d'un expert sécurité soit approprié à une seule personne en particulier pour un problème bien spécifique ! Enfin, avant de poster ta demande de rapport, je t'invite à suivre le pré-nettoyage indiqué ici.

 

Pourquoi devoir prénettoyer et poster un sujet rien que pour toi ? Le prénettoyage pour alléger le travail des conseillers en sécurité, car suite à celui-ci, ne subsistera que les véritables infections. Quant au sujet, parce qu'une infection peut en cacher d'autres, et qu'en applicant uniquement une réponse piochée dans un post, tu risques de passer à côté d'autres infections et de ne pas résolver l'origine du problème. Bon courage, et t'en fais pas, les conseillers sécurité sont costauds ! :P ( :-P charles ingals, et aux autres aussi que je ne connais pas mais que je lis souvent)

 

EDIT :

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eChanblard\emule.exe -AutoStart
je vois que tu as emule, il est fortement conseillé de le désinstaller définitivement. Va pour peut-être t'en convaincre par la démonstration de Tesgaz et pour poursuivre le débat.

 

REEDIT : :PQc001

Modifié par Gof
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...