Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande d'analyse de rapport Hijackthis SVP


Yann974

Messages recommandés

re,

 

1/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

MailSkinner

 

si ce programme est present desinstalle le.

 

 

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

O4 - HKLM\..\Run: [Microsoft Update] wuagrd.exe

O4 - HKLM\..\Run: [wgysmblcq] c:\windows\system32\wgysmblcq.exe wgysmblcq

O4 - HKLM\..\RunServices: [Microsoft Windows Update Installations] Winhost.exe

O4 - HKCU\..\Run: [Microsoft Update] wuagrd.exe

O4 - HKCU\..\Run: [Microsoft Windows Update Installations] Winhost.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGDACCESS_1073.dll,InstantAccess

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\RunServices: [Microsoft Update] wuagrd.exe

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1026_FR_XP.cab

O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1063_XP.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200211...meInstaller.exe

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {8D8BAF56-B581-4B90-A549-C4AC6B03F1BB} - http://scripts.downloadv3.com/binaries/EGD...ESS_1074_XP.cab

O16 - DPF: {C2481ED1-9896-4D49-AE90-69858DFDE446} - http://scripts.downloadv3.com/binaries/EGD...ESS_1073_XP.cab

O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab

 

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/supprime ce qui est en gras:

 

c:\windows\system32\ wgysmblcq.exe<== le fichier

c:\program files\ mailskinner<== tout le dossier

C:\Windows\System32\ wgysmblcq.dat<== le fichier

C:\Windows\System32\ wgysmblcq_nav.dat<== le fichier

C:\Windows\System32\ wgysmblcq_navps.dat<== le fichier

 

 

6/ on va supprimer les fichiers qui n'ont pas de chemin d'acces:

 

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

 

recherche(si tu les trouvent tu les supprimes):

 

wuagrd.exe

Winhost.exe

EGDACCESS_1073.dll

 

7/redemarre en mode normal

 

8/poste un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas :P

 

@+

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

Voilà, j'ai tout fait.

 

Par contre, c:\windows\system32\ wgysmblcq.exe n'était pas présent, ainsi que wuagrd.exe

Winhost.exe

EGDACCESS_1073.dll

 

Voici le log Hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:14:02, on 21/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\PROGRA~1\EzButton\CPATR10.EXE

C:\PROGRA~1\USBTnKey\USBKPad.EXE

C:\PROGRA~1\USBTnKey\KPDRV4XP.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\JCCATCH.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE

O4 - HKLM\..\Run: [uSB-TenKey] C:\PROGRA~1\USBTnKey\USBKPad.EXE

O4 - HKLM\..\Run: [uSB-TenKey USBKPDrv] C:\PROGRA~1\USBTnKey\KPDRV4XP.EXE

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.05.0000.1009\fr\msnappau.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

A+

Modifié par Yann974
Lien vers le commentaire
Partager sur d’autres sites

salut ! :P

 

1/ redémarre en mode sans échec :

 

A la fin du chargement du BIOS, commencez à appuyer sur la touche F8

de votre clavier. Procédez ainsi jusqu'à ce que le menu des options

avancées de Windows apparaisse. Si vous commencez à appuyer sur la

touche F8 trop tôt, il est possible que certains ordinateurs affichent

le message "erreur clavier". Pour résoudre ce problème, redémarrez

l'ordinateur et essayez de nouveau.

En utilisant les flèches de votre clavier, sélectionnez Mode sans

échec dans le menu puis appuyez sur Entrée.

 

2/ Affiche les fichiers cachés :

 

Fais Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

3/ supprime le fichier en gras :

 

C:\WINDOWS\vsnpstd2.exe

 

4/ vide ta corbeille

 

5/ refais un scan hijackthis coche et fix ces lignes :

 

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

 

6/ redémarre ton pc

 

7/ fais un scan panda en ligne :

ici

et post moi le rapport de ce scan ici une fois terminé !

 

ps : comme tu possède avast comme antivirus, désactive-le le temps du scan !

 

8/ repost aussi un nouveau rapoport hijackthis !

 

bon courage ! A+ :P

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

 

Yann974, ne supprime pas a ce fichier vsnpstd2.exe.

 

en mode sans echec.

 

une fois avoir cocher et fixer cette ligne:

 

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

 

 

tu supprimes ceci (en gras):

 

C:\WINDOWS\ NsUpdate.exe<== le fichier

 

redemarre en mode normal et reposte un nouveau log et tu fais aussi le scan che panda.

 

@+ et bon courage :P

Lien vers le commentaire
Partager sur d’autres sites

Salut

Voici le log PANDA :

 

Incident Statut Analyse

 

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Firefox\Profiles\kxosuxl4.default\cookies.txt[]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[]

Virus:Backdoor Program Désinfecté C:\Documents and Settings\gg\Bureau\Programmes\H\cold_fusion_1.1.zip[install ColdFusion v1.1.EXE]

Spyware:Cookie/DomainSponsor No Désinfecté C:\Documents and Settings\gg\Cookies\gg@domainsponsor[1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\gg\Cookies\[email protected][1].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\gg\Cookies\[email protected][2].txt

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\gg\Cookies\[email protected][3].txt

Spyware:Cookie/Hypercount No Désinfecté C:\Documents and Settings\gg\Cookies\gg@hypercount[1].txt

Spyware:Cookie/Hypercount No Désinfecté C:\Documents and Settings\gg\Cookies\gg@hypercount[2].txt

Spyware:Cookie/Hypercount No Désinfecté C:\Documents and Settings\gg\Cookies\gg@hypercount[3].txt

Spyware:Cookie/DomainSponsor No Désinfecté C:\Documents and Settings\gg\Cookies\[email protected][1].txt

Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\gg\Cookies\gg@metriweb[1].txt

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\gg\Cookies\gg@realmedia[2].txt

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\gg\Cookies\gg@realmedia[7].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Cookies\gg@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Cookies\gg@xiti[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Cookies\gg@xiti[3].txt

Virus:W32/Netsky.P.worm Désinfecté Dossiers personnels\Éléments supprimés\Re: Secure SMTP Message\details.exe

Virus:W32/Netsky.P.worm Désinfecté Dossiers personnels\Éléments supprimés\Notice again\abuses_yann.durighello.scr

Virus:W32/Netsky.P.worm Désinfecté Dossiers personnels\Éléments supprimés\Re: Error in document\message.doc.pif

Virus:W32/Netsky.C.worm Désinfecté Dossiers personnels\Éléments supprimés\your document is not good\mail2.zip[mail2.htm.exe]

Virus:W32/Netsky.C.worm Désinfecté Dossiers personnels\Éléments supprimés\you feel the same.\talk_mail2.zip[talk_mail2.txt.pif]

Virus:W32/Netsky.P.worm Désinfecté Dossiers personnels\Éléments supprimés\Re: Old times\letter.zip[details.txt .pif]

Virus:W32/Netsky.C.worm Désinfecté Dossiers personnels\Éléments supprimés\Question\portmoney.zip[portmoney.scr]

Virus:W32/Netsky.P.worm Désinfecté Dossiers personnels\Boîte de réception\Congratulations!\bill.txt .pif

Dialer:Dialer.CE No Désinfecté C:\hijackthis\backups\backup-20060421-103716-724.inf

Virus:W32/Kelvir.CU.worm No Désinfecté C:\Program Files\eMule\Temp\003.part[Eurofake.exe]

Adware:adware/navipromo No Désinfecté C:\WINDOWS\system32\msegcompid.dll

Dialer:dialer.b No Désinfecté C:\WINDOWS\system32\mseggrpid.dll

Virus:Trj/Agent.BPB Désinfecté C:\WINDOWS\WMCRRS.exe

 

 

Et HIJACKTHIS :

 

 

Logfile of HijackThis v1.99.1

Scan saved at 18:37:49, on 24/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\brss01a.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\PROGRA~1\EzButton\CPATR10.EXE

C:\PROGRA~1\USBTnKey\USBKPad.EXE

C:\PROGRA~1\USBTnKey\KPDRV4XP.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\JCCATCH.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE

O4 - HKLM\..\Run: [uSB-TenKey] C:\PROGRA~1\USBTnKey\USBKPad.EXE

O4 - HKLM\..\Run: [uSB-TenKey USBKPDrv] C:\PROGRA~1\USBTnKey\KPDRV4XP.EXE

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.05.0000.1009\fr\msnappau.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE7E18B3-C59E-4E0A-82D3-3E0FDB80282E}: NameServer = 217.175.160.11 217.175.160.12

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Merci, bonne semaine

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

 

bonjour,

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

emule

 

si ce programme est present desinstalle le.

 

 

3/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

4/supprime ce qui est en gras:

 

C:\hijackthis\backups\ backup-20060421-103716-724.inf<== le fichier

C:\Program Files\ eMule<== tout le dossier

C:\WINDOWS\system32\ msegcompid.dll <== le fichier

C:\WINDOWS\system32\ mseggrpid.dll <== le fichier

C:\WINDOWS\ WMCRRS.exe <== le fichier

 

5/Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

6/ redemarre en mode normal, et refais un scan chez panda, et post le rapport.

 

@+ et bon courage :P

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Salut à tous,

après une petite absence, je reprend les travaux.

 

J'ai fais tout ce que m'a dit Bruce Lee, par contre je n'ai pas trouver ça :

C:\WINDOWS\ WMCRRS.exe <== le fichier

 

 

Voici le log PANDA réalisé ce jour :

 

 

Incident Statut Analyse

 

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Firefox\Profiles\kxosuxl4.default\cookies.txt[.atdmt.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Firefox\Profiles\kxosuxl4.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Firefox\Profiles\kxosuxl4.default\cookies.txt[.advertising.com/]

Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Firefox\Profiles\kxosuxl4.default\cookies.txt[.serving-sys.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[.xiti.com/]

Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[.adultfriendfinder.com/]

Spyware:Cookie/bravenetA No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[.bravenet.com/]

Spyware:Cookie/DomainSponsor No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[landing.domainsponsor.com/]

Spyware:Cookie/Maxserving No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[.maxserving.com/]

Spyware:Cookie/Toplist No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[.toplist.cz/]

Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\gg\Application Data\Mozilla\Profiles\default\2ujcjsnf.slt\cookies.txt[.belnk.com/]

 

Merci de votre attention

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...