Aide Anallyse rapport Hijack This

[arnaud paris]

Re Bonsoir,

 

Voila le rapport de panda en ligne suivi d4un nouveu rapport hijack this

 

 

Incident Statut Analyse

 

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Maciej\Cookies\maciej@bluestreak[2].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Maciej\Cookies\maciej@tradedoubler[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Maciej\Cookies\maciej@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Maciej\Dane aplikacji\Mozilla\Firefox\Profiles\kiddjtk6.default\cookies.txt[]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Maciej\Ustawienia lokalne\Temp\Cookies\maciej@xiti[1].txt

Adware:Adware/IST.ISTBar No Désinfecté C:\Program Files\Common Files\Totem Shared\Update\distribution.dll.043

Adware:Adware/IST.ISTBar No Désinfecté C:\Program Files\Common Files\Totem Shared\Update\music.dll.021

Adware:Adware/IST.ISTBar No Désinfecté C:\Program Files\Common Files\Totem Shared\Update\Windows.dll.070

Adware:Adware/IST.ISTBar No Désinfecté C:\Program Files\Common Files\Totem Shared\Update\windowsex.dll.039

Adware:adware/gator No Désinfecté C:\WINDOWS\GatorFDDLI.log

Dialer:Dialer.B No Désinfecté C:\WINDOWS\p2esocks_1048.dll

Dialer:Dialer.B No Désinfecté C:\WINDOWS\system32\eg_auth_srv_1048.dll

Adware:adware/navipromo No Désinfecté C:\WINDOWS\system32\hjewyrgcp_nav.dat

 

 

Hijack this

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:55:32, on 2006-04-18

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\Program Files\Real\iTunesHelper.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Hijack this\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

 

http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada

 

TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -

 

C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat

 

7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program

 

Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common

 

Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"

 

-atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Real\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition

 

Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program

 

Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\program

 

files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program

 

files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program

 

files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program

 

files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program

 

files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program

 

files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} -

 

C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

 

-{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

 

Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

 

C:\Program Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\j2re1.4.0_03\bin\npjpi140_03.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

 

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

 

http://update.microsoft.com/windowsupdate/.../client/wuweb_s

 

ite.cab?1140995324841

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

 

Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 -

 

HKLM\System\CCS\Services\Tcpip\..\{642D0FAE-18B4-40E9-A366-922BFA77DBC7}:

 

NameServer = 194.204.152.34 217.98.63.164

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) -

 

Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA

 

GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

 

Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel

 

32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program

 

Files\iPod\bin\iPodService.exe

 

Cordialement

 

Arnaud

 

 

 

 

Bonsoir,

 

Je suis en train de faire un scan panda, je te post le resultat des aue c est pret, plus un nouveau rapport hijack this.

 

concernant les lignes a cocher, je n ai pas coche les lignes suivantes

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

La raion est aue c est l ordi d un ami qui est en pologne avec moi en ce moment, aussi les sites indiaues correspondent reellememt a quelaue chose de connu, je suis a l ecoute de ton avis...

 

Sur ce pc, il n y a que le pare feu de windows, je suis preneur d une solution efficace et meilleure et si possible gratuite.

 

Concernant les mises a jour de windows, je les ferai.

 

Merci et a tout a l heure.

 

arnaud

[regis56]

Bonsoir arnaud paris !

 

Il reste des traces de edge access !

 

Recherche si tu as ces fichiers !

C:\Windows\System32\hjewyrgcp.exe

C:\Windows\System32\hjewyrgcp.dat

C:\Windows\System32\hjewyrgcp_nav.dat

C:\Windows\System32\hjewyrgcp_navps.dat

 

on continuera la désinsfection après

 

A plus !

Modifié le 18 avril 2006 par regis56

[arnaud paris]

Bonjour,

 

Concernant les fichiers cites .

 

 

C:\Windows\System32\hjewyrgcp.exe PAS DE TRACE

 

C:\Windows\System32\hjewyrgcp.dat Il EST BIEN LA

 

C:\Windows\System32\hjewyrgcp_nav.dat IL EST LA AUSSI

 

C:\Windows\System32\hjewyrgcp_navps.dat IL EST LA EGALEMENT

 

 

Cordialement

 

 

Merci d4avance de ta reponse

 

Arnaud

 

 

 

Bonsoir arnaud paris !

 

Il reste des traces de edge access !

 

Recherche si tu as ces fichiers !

C:\Windows\System32\hjewyrgcp.exe

C:\Windows\System32\hjewyrgcp.dat

C:\Windows\System32\hjewyrgcp_nav.dat

C:\Windows\System32\hjewyrgcp_navps.dat

 

on continuera la désinsfection après

 

A plus !

[regis56]

Bonjour arnaud paris !

 

Pour étre de sur de rien oublier peut tu faire ceci STP ?

 

1)Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

2) Télécharge Killbox (par Option^Explicit) sur ton Bureau.

 

On passera à l'étape de la désinfection après avoir vu le rapport de blacklight

 

A plus !

[arnaud paris]

Bonjour,

 

Voila le rapport de fsecure

 

 

04/19/06 10:31:16 [info]: BlackLight Engine 1.0.35 initialized

04/19/06 10:31:16 [info]: OS: 5.1 build 2600 (Dodatek Service Pack 2)

04/19/06 10:31:17 [Note]: 7019 4

04/19/06 10:31:17 [Note]: 7005 0

04/19/06 10:31:33 [Note]: 7006 0

04/19/06 10:31:33 [Note]: 7011 2012

04/19/06 10:31:34 [Note]: 7026 0

04/19/06 10:31:35 [Note]: 7026 0

04/19/06 10:31:35 [Note]: FSRAW library version 1.7.1015

 

 

Cordialement

 

Arnaud

 

 

Bonjour arnaud paris !

 

Pour étre de sur de rien oublier peut tu faire ceci STP ?

 

1)Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

2) Télécharge Killbox (par Option^Explicit) sur ton Bureau.

 

On passera à l'étape de la désinfection après avoir vu le rapport de blacklight

 

A plus !

[regis56]

Re

 

Connait tu ce programme :

Totem Shared

Il me semble louche !!

Si tu ne le connait pas désinstalle le !

Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

Totem Shared (désinstaller)

Si problème fait le quand tu sera en mode sans échec !

 

Dommage que black light ne trouve rien ?!?

 

Lis la procédure avant de la faire copie la si besoin !

 

1) Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

C:\Windows\System32\hjewyrgcp.exe

C:\Windows\System32\hjewyrgcp.dat

C:\Windows\System32\hjewyrgcp_nav.dat

C:\Windows\System32\hjewyrgcp_navps.dat

C:\Program Files\Common Files\Totem Shared\Update\distribution.dll.043

C:\Program Files\Common Files\Totem Shared\Update\music.dll.021

C:\Program Files\Common Files\Totem Shared\Update\Windows.dll.070

C:\Program Files\Common Files\Totem Shared\Update\windowsex.dll.039

C:\WINDOWS\GatorFDDLI.log

C:\WINDOWS\p2esocks_1048.dll

C:\WINDOWS\system32\eg_auth_srv_1048.dll

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting"

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

2) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..).

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

4) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

 

5) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse.

 

Bon courage à plus !

Modifié le 19 avril 2006 par regis56

[arnaud paris]

Bonjour,

 

Je ne vois pas ta derniere repomse regis

 

merci de me la redonner

 

Arnaud

 

Bonjour,

 

Voila le rapport de fsecure

04/19/06 10:31:16 [info]: BlackLight Engine 1.0.35 initialized

04/19/06 10:31:16 [info]: OS: 5.1 build 2600 (Dodatek Service Pack 2)

04/19/06 10:31:17 [Note]: 7019 4

04/19/06 10:31:17 [Note]: 7005 0

04/19/06 10:31:33 [Note]: 7006 0

04/19/06 10:31:33 [Note]: 7011 2012

04/19/06 10:31:34 [Note]: 7026 0

04/19/06 10:31:35 [Note]: 7026 0

04/19/06 10:31:35 [Note]: FSRAW library version 1.7.1015

Cordialement

 

Arnaud

[regis56]

Re

 

je comprend pas bien ton problème mais bon voici ma réponse

 

Re

 

Connait tu ce programme :

Totem Shared

Il me semble louche !!

Si tu ne le connait pas désinstalle le !

Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

Totem Shared (désinstaller)

Si problème fait le quand tu sera en mode sans échec !

 

Dommage que black light ne trouve rien ?!?

 

Lis la procédure avant de la faire copie la si besoin !

 

1) Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

C:\Windows\System32\hjewyrgcp.exe

C:\Windows\System32\hjewyrgcp.dat

C:\Windows\System32\hjewyrgcp_nav.dat

C:\Windows\System32\hjewyrgcp_navps.dat

C:\Program Files\Common Files\Totem Shared\Update\distribution.dll.043

C:\Program Files\Common Files\Totem Shared\Update\music.dll.021

C:\Program Files\Common Files\Totem Shared\Update\Windows.dll.070

C:\Program Files\Common Files\Totem Shared\Update\windowsex.dll.039

C:\WINDOWS\GatorFDDLI.log

C:\WINDOWS\p2esocks_1048.dll

C:\WINDOWS\system32\eg_auth_srv_1048.dll

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting"

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

2) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..).

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

4) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

 

5) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse.

 

Bon courage à plus !

[arnaud paris]

Re Bonjour,

 

Concernant le programme Totem shared, je ne connais pas mais ne le trouve pas dans les programmes

installes

 

Concernant Kill box, tout est ok dams tes manips, sauf aue l4option Unregister .dll Before Deleting

 

est inactive , je me peux donc la cocher, il y a pourtant des dll dans les fichiers concernes,

 

j4attends donc tes instructions avant de lancer le bouton kill

 

Arnaud

 

Re

 

Connait tu ce programme :

Totem Shared

Il me semble louche !!

Si tu ne le connait pas désinstalle le !

Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

Totem Shared (désinstaller)

Si problème fait le quand tu sera en mode sans échec !

 

Dommage que black light ne trouve rien ?!?

 

Lis la procédure avant de la faire copie la si besoin !

 

1) Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

C:\Windows\System32\hjewyrgcp.exe

C:\Windows\System32\hjewyrgcp.dat

C:\Windows\System32\hjewyrgcp_nav.dat

C:\Windows\System32\hjewyrgcp_navps.dat

C:\Program Files\Common Files\Totem Shared\Update\distribution.dll.043

C:\Program Files\Common Files\Totem Shared\Update\music.dll.021

C:\Program Files\Common Files\Totem Shared\Update\Windows.dll.070

C:\Program Files\Common Files\Totem Shared\Update\windowsex.dll.039

C:\WINDOWS\GatorFDDLI.log

C:\WINDOWS\p2esocks_1048.dll

C:\WINDOWS\system32\eg_auth_srv_1048.dll

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting"

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

2) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..).

 

3) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

4) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

 

5) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse.

 

Bon courage à plus !

[regis56]

Re

 

Bon recommence comme ceci

 

Lis la procédure avant de la faire copie la si besoin !

 

1)-Télécharger et installer EasyCleaner de Toni Helenius (Programme faisant partie de la catégorie des nettoyeurs)

http://personal.inet.fi/business/toniarts/ecleane.htm

 

 

2)- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\Windows\System32\hjewyrgcp.exe

C:\Windows\System32\hjewyrgcp.dat

C:\Windows\System32\hjewyrgcp_nav.dat

C:\Windows\System32\hjewyrgcp_navps.dat

C:\Program Files\Common Files\Totem Shared\Update\distribution.dll.043

C:\Program Files\Common Files\Totem Shared\Update\music.dll.021

C:\Program Files\Common Files\Totem Shared\Update\Windows.dll.070

C:\Program Files\Common Files\Totem Shared\Update\windowsex.dll.039

C:\WINDOWS\GatorFDDLI.log

C:\WINDOWS\p2esocks_1048.dll

C:\WINDOWS\system32\eg_auth_srv_1048.dll

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- si un ou des fichiers ".dll" sont présents dans la liste, coche "Unregister .dll Before Deleting".

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

3) Dès le redémarrage de KillBox, tapote la touche F8 afin de démarrer en mode Sans Échec (même manip qu'au post précédent..).

 

C:\Program Files\Common Files\Totem Shared\<= supprime le dossier !

 

4) Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..).

Clique Exit pour fermer le programme BFU.

 

5)-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

6) Repasse un scan complet avec Ewido (toujours en mode Sans Échec), et sauvegarde son rapport.

 

 

7) Redémarre en mode Normal. Poste le nouveau rapport d'Ewido ainsi qu'un nouveau log HijackThis! dans ta prochaine réponse.

 

Bon courage à plus !