Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

satané ver "Win32: agent RE"


Messages recommandés

Bonjour à l'équipe,

je découvre le site et comme beaucoup d'autres que je lis sur ce forum, je suis infecté par le ver Win32: agent RE: conséquences directes => création de msclock32.dll vu par Avast qui malgré la quarantaine ou la suppression n'empêche pas son retour systématique. D'autre part des annonces de présence de Mytob mais pas détecté par fixmytob, et des connexions automatiques à Amaéna.com pour téléchargement avec un lien sur winantivirus pro 2006. etc... J'ai aprés avoir lu les messages effectué le scan avec HijackThisFR mais je ne maitrise pas le fichier log ci-joint en copie. Si quelqu'un peut m'aider à le dépouiller et supprimer ce ver. merci d'avance .

 

Logfile of HijackThis v1.99.1

Scan saved at 00:17:18, on 19/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\svchost.exe

C:\windows\system32\zqsmdgftw.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\program files\mailskinner\mailskinner.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\3M\PSN2Lite\Psn2Lite.exe

C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [zqsmdgftw] c:\windows\system32\zqsmdgftw.exe zqsmdgftw

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess

O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Program Files\Pinnacle\Studio PCTV\ERegister\Remind32.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSN2Lite\Psn2Lite.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1064_XP.cab

O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1058_XP.cab

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EC..._1045_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_FR_XP.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE (file missing)

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

Lien vers le commentaire
Partager sur d’autres sites

salut et bienvenue sur le forum :P

 

Ton pc est infecté par Edgaccess! Voilà la procédure que je te propose pour t'en débarrasser:

Important: suis toutes les étapes dans l'ordre stp!si tu rencontres un problème, ou que tu ne comprends pas une manipulation, dis moi :P :

 

Étape 1:Télécharge les outils suivants

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la dernière version de Killbox ici et met le sur ton bureau.

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.Ne scanne pas le pc maintenant,ferme le programme!

 

-Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Étape 2:

 

* imprime ces instructions,ou copie - colle les dans un fichier texte pour lecture en mode Sans Échec.

 

* Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

c:\windows\system32\zqsmdgftw.exe

-Assure toi que la case "Delete on Reboot" soit cochée.

Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

Ainsi de suite tu entres les chemins de tout les fichiers=>

C:\Windows\System32\zqsmdgftw.dat

C:\Windows\System32\zqsmdgftw_nav.dat

C:\Windows\System32\zqsmdgftw_navps.dat

C:\Windows\System32\msclock32.dll

C:\Windows\System32\msplock32.dll

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

Étape 3:

 

*killbox va faire redémarrer le PC,il faut le faire booter impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

 

Étape 4:

 

* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

Étape 5:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [zqsmdgftw] c:\windows\system32\zqsmdgftw.exe zqsmdgftw

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess

 

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1064_XP.cab

O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1058_XP.cab

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EC..._1045_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_FR_XP.cab

 

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE (file missing)

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 6:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

-Coche la case suivante:"select all"

 

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 7:

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

Étape 8:

 

* Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido :-P

 

Le procédure te parait longue, c'est qu'elle est détaillée!! il faut bien suivre pas à pas et dans l'ordre,car cette saloperie d'Egdaccess se régénère sinon!!

 

il faudra qu'on désinstalle tout ce qui fait référence à Securitoo !tu as déjà Avast + Kério!

 

 

@+ :-(

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

:P Merci pour ta réponse hyper rapide et la procédure détaillée.

Je profite d'un samedi tranquille sur les hauteurs de Nice pour tranquillement suivre à la lettre tes directives.

Comme tu le dis c'est "à priori" long, mais quand tout se passe comme tu le décris,

ça se laisse "apprivoiser" , et la confiance s'installe au fur et à mesure que les étapes se succédent.

Faut quand même être un peu gonflé de se laisser à ce point guider quand on y comprend rien....

 

Bilan de la manip:

98 fichiers infectés en fin d'étape 7 (je joins le Log)

ainsi que le nouveau rapport Hijackthis

Sache quand même que lors de l'étape 5, je n'ai jamais vu à l'écran les 2 lignes suivantes:

 

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess

 

et comme par hasard ça se réfère justement au "Egdaccess"

alors ?????

 

 

si t'as une idée, je suis encore preneur.

en tout cas bravo, je ne sais pas quel est ton métier, mais il y a quelque chose qui me fait penser que ça doit pas être loin de l'informatique non ?

@+

alain Del

 

 

nouveau rapport de samedi:

 

Logfile of HijackThis v1.99.1

Scan saved at 18:51:35, on 20/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\3M\PSN2Lite\Psn2Lite.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Pinnacle Systems - Studio Family.lnk = C:\Program Files\Pinnacle\Studio PCTV\ERegister\Remind32.exe

O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSN2Lite\Psn2Lite.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE (file missing)

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

 

 

 

Et résultat du Scan Ewido:

 

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 18:47:57, 20/05/2006

+ Somme de contrôle: 8AB3EDF7

 

+ Résultats du scan:

 

C:\Program Files\Alwil Software\Avast4\DATA\moved\[uPX].vir -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP339\A0084908.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP339\A0084917.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP340\A0084948.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP340\A0084963.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP340\A0084978.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP340\A0084990.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP341\A0085014.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP341\A0085035.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP341\A0085052.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP341\A0085065.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP342\A0085104.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP342\A0085118.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP342\A0085134.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP342\A0085148.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP342\A0085164.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP342\A0085179.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085204.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085219.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085234.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085250.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085265.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085278.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP343\A0085294.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP344\A0085312.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP344\A0085329.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP344\A0085344.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP344\A0085362.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP344\A0085377.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP344\A0085397.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP345\A0085422.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP345\A0085466.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP345\A0085500.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP347\A0086676.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP347\A0086692.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP347\A0086723.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP347\A0086753.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP348\A0086768.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP348\A0086797.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP348\A0086809.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP348\A0086826.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP348\A0086839.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP348\A0086854.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP349\A0086874.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP349\A0086887.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP349\A0086902.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP349\A0086917.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0086932.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0086950.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0086964.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0086979.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0086999.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0087025.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP350\A0087048.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP351\A0087068.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP351\A0087081.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP351\A0087099.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP351\A0087112.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP352\A0087136.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP352\A0087161.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP352\A0087177.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP353\A0087195.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP353\A0087210.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP353\A0087235.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP354\A0087250.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP354\A0087266.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP354\A0087281.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP354\A0087296.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP354\A0087311.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP354\A0087325.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP355\A0087405.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP355\A0087504.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP355\A0087547.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP355\A0087562.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP356\A0087631.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP357\A0087641.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP358\A0087695.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP359\A0087725.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP359\A0087752.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP360\A0087782.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP361\A0087811.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP361\A0087844.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP362\A0087880.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP363\A0087891.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP363\A0087935.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP363\A0087948.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP364\A0087964.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP364\A0087982.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP364\A0089027.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP366\A0089078.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP366\A0089097.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP366\A0089110.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP367\A0089140.dll -> Adware.NaviPromo : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP367\A0089146.dll -> Trojan.P2E.cl : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP367\A0089147.dll -> Trojan.P2E.cl : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP367\A0089150.dll -> Trojan.P2E.cl : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP367\A0089151.dll -> Dialer.InstantAccess.e : Nettoyer et sauvegarder

C:\System Volume Information\_restore{53E5D627-58B6-4D46-BD18-6E5CDBE04268}\RP367\A0089152.dll -> Dialer.EGroup.u : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

 

je n'aime pas trop ce qu'il a vu effectivement en fin de liste ....!!!!

 

 

 

 

salut et bienvenue sur le forum :P

 

Ton pc est infecté par Edgaccess! Voilà la procédure que je te propose pour t'en débarrasser:

Important: suis toutes les étapes dans l'ordre stp!si tu rencontres un problème, ou que tu ne comprends pas une manipulation, dis moi :P :

 

Étape 1:Télécharge les outils suivants

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge la dernière version de Killbox ici et met le sur ton bureau.

 

-Télécharge la version d'essai d'Ewido:ici :

et installe le (important: pendant l'installation, sur la page "Additional Options"

décoche les deux options "Install background guard" et "Install scan via context

menu")Met le à jour.Ne scanne pas le pc maintenant,ferme le programme!

 

-Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Étape 2:

 

* imprime ces instructions,ou copie - colle les dans un fichier texte pour lecture en mode Sans Échec.

 

* Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci:

c:\windows\system32\zqsmdgftw.exe

-Assure toi que la case "Delete on Reboot" soit cochée.

Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON

 

Ainsi de suite tu entres les chemins de tout les fichiers=>

C:\Windows\System32\zqsmdgftw.dat

C:\Windows\System32\zqsmdgftw_nav.dat

C:\Windows\System32\zqsmdgftw_navps.dat

C:\Windows\System32\msclock32.dll

C:\Windows\System32\msplock32.dll

à la fin , le même message va s'afficher:

« File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI

 

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.

 

Étape 3:

 

*killbox va faire redémarrer le PC,il faut le faire booter impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 4:

 

* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

Étape 5:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O4 - HKLM\..\Run: [zqsmdgftw] c:\windows\system32\zqsmdgftw.exe zqsmdgftw

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1058.dll,InstantAccess

 

O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDA...ESS_1064_XP.cab

O16 - DPF: {2A3DFC59-8A87-49A1-85D1-42903410911F} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1058_XP.cab

O16 - DPF: {39EA2F6F-3F50-4F58-9C63-4B3D53B0926E} - http://scripts.downloadv3.com/binaries/P2E..._1049_FR_XP.cab

O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/IA/...svc32_FR_XP.cab

O16 - DPF: {BE5A7132-329F-4319-B781-2A83BFE51534} - http://akamai.downloadv3.com/binaries/P2EC..._1045_FR_XP.cab

O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/s...svc32_FR_XP.cab

 

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE (file missing)

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Program Files\Securitoo\av_fw\fswsclds.exe (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 6:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

-Coche la case suivante:"select all"

 

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 7:

 

* Lance Ewido et clique sur "scanner" puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...)

 

Étape 8:

 

* Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido :-P

 

Le procédure te parait longue, c'est qu'elle est détaillée!! il faut bien suivre pas à pas et dans l'ordre,car cette saloperie d'Egdaccess se régénère sinon!!

 

il faudra qu'on désinstalle tout ce qui fait référence à Securitoo !tu as déjà Avast + Kério!

@+ :-(

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...