Analyse HijackThis... (Générateur de pop-ups?)

KS_Croc · le 8 juillet 2006

_______________________________________________________________________

!!!!!!!!!!!!!!!!!! RESOLU !!!!!!!!!!!!!!!!!!!!!!!!!!!!!

_______________________________________________________________________

Hello!

J'ai un problème d'ouverture de pop-ups intempestives lorsque que j'utilise IE...

J'ai nettoyé mon cache, passé AntiVir, Ad-aware, Spybot et cwshredder, rien n'est détecté...

La navigation est réellement perturbée par des apparitions de pop-ups et de publicités sur les pages visitées.

Donc je me tourne vers vous car je n'ai pas la compétence pour analyser le log Hijack This...

Merci pour vos réponses, vous êtes mon dernier recours... [sinon, je n'ai plus qu'à jeter mon PC par la fenêtre] >.<

Merci d'avance!

Logfile of HijackThis v1.99.1

Scan saved at 23:45:42, on 08/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\DitExp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe

D:\Tools\Nikon\PictureProject\NkbMonitor.exe

D:\Tools\Aide mémoire\TrayIcon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Nico\Bureau\cwshredder.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Nico\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Tools\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Tools\FreshDownload\fdcatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Tools\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Tools\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] D:\Tools\Winamp\winampa.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [iTunesHelper] "D:\tools\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Aide mémoire.lnk = ?

O4 - Startup: NaturalColorLoad.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NaturalColorLoad.lnk = ?

O4 - Global Startup: NkbMonitor.exe.lnk = D:\Tools\Nikon\PictureProject\NkbMonitor.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Modifié le 11 juillet 2006 par KS_Croc

Malekal_morte · le 8 juillet 2006

Bonsoir,

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

- Clic en bas sur "I accept"

- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.

- Lance-le en double-cliquant sur le fichier blbeta.exe

- Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

et

- Télécharge chercher.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé

- Ouvre le et double-clic sur chercher.cmd

- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Thanos · le 8 juillet 2006

salut et bienvenue sur le forum :-P

désolé, j'ai posté en même temps que Malekal

on te demande la même chose de toute façons

Edité: je m'efface :-(

Modifié le 8 juillet 2006 par charles ingals

KS_Croc · le 8 juillet 2006

Voilà!

F-Secure Blacklight

07/09/06 00:32:46 [info]: BlackLight Engine 1.0.42 initialized

07/09/06 00:32:46 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/09/06 00:32:47 [Note]: 7019 4

07/09/06 00:32:47 [Note]: 7005 0

07/09/06 00:32:49 [Note]: 7006 0

07/09/06 00:32:49 [Note]: 7011 1000

07/09/06 00:32:49 [Note]: 7026 0

07/09/06 00:32:50 [Note]: 7026 0

07/09/06 00:32:50 [Note]: 7024 3

07/09/06 00:32:50 [info]: Hidden process: C:\windows\system32\mrniqc.exe

07/09/06 00:32:50 [Note]: FSRAW library version 1.7.1019

07/09/06 00:35:44 [info]: Hidden file: c:\WINDOWS\Prefetch\MRNIQC.EXE-1823E466.pf

07/09/06 00:35:44 [Note]: 10002 1

07/09/06 00:36:15 [info]: Hidden file: c:\WINDOWS\system32\mrniqc.dat

07/09/06 00:36:15 [Note]: 10002 1

07/09/06 00:36:16 [info]: Hidden file: C:\windows\system32\mrniqc.exe

07/09/06 00:36:16 [Note]: 10002 1

07/09/06 00:36:16 [info]: Hidden file: c:\WINDOWS\system32\mrniqc_nav.dat

07/09/06 00:36:16 [Note]: 10002 1

07/09/06 00:36:16 [info]: Hidden file: c:\WINDOWS\system32\mrniqc_navps.dat

07/09/06 00:36:16 [Note]: 10002 1

07/09/06 00:38:05 [Note]: 7007 0

chercher.zip

C:\WINDOWS\System32\wpa.dbl -->08/07/2006 23:32:03

C:\WINDOWS\System32\WgaLogon.dll -->19/06/2006 16:20:42

C:\WINDOWS\System32\LegitCheckControl.dll -->19/06/2006 16:19:42

C:\WINDOWS\System32\WgaTray.exe -->19/06/2006 16:19:26

C:\WINDOWS\System32\nvs2.inf -->15/06/2006 05:40:09

C:\WINDOWS\System32\HotTVPlayer.dll -->15/06/2006 05:40:04

C:\WINDOWS\System32\avsda.dll -->11/06/2006 23:41:04

C:\WINDOWS\System32\MRT.exe -->08/06/2006 18:19:52

C:\WINDOWS\System32\jgpl400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\jgdw400.dll -->01/06/2006 20:48:44

C:\WINDOWS\System32\shdocvw.dll -->29/05/2006 17:29:14

C:\WINDOWS\System32\mshtml.dll -->19/05/2006 17:09:50

C:\WINDOWS\System32\jscript.dll -->18/05/2006 07:31:21

C:\WINDOWS\System32\rasmans.dll -->14/05/2006 10:48:16

C:\WINDOWS\System32\xpsp3res.dll -->11/05/2006 10:57:36

C:\WINDOWS\wiadebug.log -->08/07/2006 23:32:08

C:\WINDOWS\wiaservc.log -->08/07/2006 23:32:07

C:\WINDOWS\0.log -->08/07/2006 23:32:02

C:\WINDOWS\ModemLog_Creatix V.9X DSP Data Fax Modem.txt -->08/07/2006 23:32:01

C:\WINDOWS\WindowsUpdate.log -->08/07/2006 23:32:00

C:\WINDOWS\bootstat.dat -->08/07/2006 23:31:55

C:\WINDOWS\SchedLgU.Txt -->08/07/2006 23:31:15

C:\WINDOWS\win.ini -->08/07/2006 23:31:07

C:\WINDOWS\system.ini -->08/07/2006 23:31:07

C:\WINDOWS\ntbtlog.txt -->07/07/2006 01:51:30

C:\WINDOWS\setupapi.log -->07/07/2006 00:49:02

C:\WINDOWS\WgaNotify.log -->06/07/2006 01:32:44

C:\WINDOWS\spupdsvc.log -->16/06/2006 03:34:20

C:\WINDOWS\wmsetup.log -->16/06/2006 03:19:02

C:\WINDOWS\tsoc.log -->16/06/2006 03:19:02

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est C02B-0FB6

R‚pertoire de C:\Program Files

15/06/2006 05:40 <REP> .

15/06/2006 05:40 <REP> ..

01/02/2006 22:17 <REP> Adobe

04/05/2006 23:38 <REP> AntiVir PersonalEdition Classic

06/11/2004 19:14 <REP> backburner 2

05/05/2005 19:04 <REP> C-Media 3D Audio

10/04/2005 16:21 <REP> Club-Internet

12/06/2004 12:02 <REP> Common Files

22/09/2003 11:19 <REP> ComPlus Applications

22/09/2003 13:06 <REP> CyberLink

07/12/2003 13:59 <REP> directx

06/12/2003 22:48 <REP> DivX

05/06/2005 18:31 <REP> EPSON

25/12/2005 20:53 <REP> Fichiers communs

05/07/2006 20:18 <REP> Google

07/07/2006 01:48 <REP> HotTVPlayer

22/09/2003 13:14 <REP> InstantCD+DVD

16/06/2006 03:00 <REP> Internet Explorer

03/12/2005 00:55 <REP> iPod

23/12/2005 01:04 <REP> Java

22/09/2003 12:54 <REP> Make bootable flashcards

04/10/2004 23:34 <REP> Managed DirectX (0901)

22/09/2003 13:06 <REP> Medion

09/02/2005 04:15 <REP> Messenger

11/01/2004 19:30 <REP> microsoft frontpage

19/03/2005 00:56 <REP> Microsoft Office

11/01/2004 19:33 <REP> Microsoft Visual Studio

22/09/2003 13:29 <REP> Microsoft Works

19/03/2005 00:56 <REP> Microsoft.NET

10/10/2004 13:49 <REP> Movie Maker

22/09/2003 11:19 <REP> MSN Gaming Zone

13/02/2006 14:26 <REP> MSN Messenger

05/05/2005 19:06 <REP> MUSICMATCH

24/11/2005 19:38 <REP> NetMeeting

14/04/2006 03:00 <REP> Outlook Express

19/12/2003 00:43 <REP> Padus

08/05/2004 23:16 <REP> Real

06/12/2003 19:48 <REP> SAGEM

06/11/2003 20:35 <REP> SEC

22/09/2003 11:20 <REP> Services en ligne

22/09/2003 13:36 <REP> SiSLan

28/06/2005 23:51 <REP> SLD Codec Pack

06/11/2004 19:39 <REP> vg

22/09/2003 13:03 <REP> Windows Journal Viewer

16/02/2006 14:54 <REP> Windows Media Player

10/10/2004 13:43 <REP> Windows NT

12/02/2005 20:15 <REP> WinRAR

22/09/2003 11:21 <REP> xerox

0 fichier(s) 0 octets

48 R‚p(s) 59ÿ917ÿ819ÿ904 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est C02B-0FB6

R‚pertoire de C:\Program Files\fichiers communs

25/12/2005 20:53 <REP> .

25/12/2005 20:53 <REP> ..

10/04/2005 16:19 <REP> Adobe

11/06/2004 14:31 <REP> Ahead

06/11/2004 19:14 <REP> Autodesk Shared

19/06/2004 19:29 <REP> Bcgsoft

06/11/2005 23:57 <REP> Borland Shared

14/08/2004 00:01 <REP> DAZ

11/01/2004 19:33 <REP> Designer

27/11/2005 20:07 <REP> EPSON

31/03/2004 00:30 <REP> InstallShield

04/11/2005 00:26 <REP> Java

25/12/2005 20:58 <REP> Macromedia

06/11/2004 19:15 <REP> Macrovision Shared

19/03/2005 00:57 <REP> Microsoft Shared

22/09/2003 11:19 <REP> MSSoap

17/11/2004 00:41 <REP> Nikon

22/09/2003 12:17 <REP> ODBC

08/05/2004 23:16 <REP> Real

22/09/2003 11:19 <REP> Services

22/09/2003 12:17 <REP> SpeechEngines

14/04/2006 03:00 <REP> System

06/09/2004 23:03 <REP> Totem Shared

08/05/2004 23:16 <REP> xing shared

0 fichier(s) 0 octets

24 R‚p(s) 59ÿ917ÿ819ÿ904 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est C02B-0FB6

R‚pertoire de C:\Program Files\common files

12/06/2004 12:02 <REP> .

12/06/2004 12:02 <REP> ..

30/07/2004 23:38 <REP> System

12/06/2004 12:02 <REP> Totem Shared

0 fichier(s) 0 octets

4 R‚p(s) 59ÿ917ÿ819ÿ904 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est C02B-0FB6

R‚pertoire de C:\

c:\Documents and Settings\Michel\Local Settings\Temp\ANTIVIR\UPDATE\antivir_workstation_winh_en.exe

c:\Documents and Settings\Nico\.housecall\getMac.exe

c:\Documents and Settings\Nico\.housecall\patch.exe

c:\Documents and Settings\Nico\.housecall\tsc.exe

c:\Documents and Settings\Nico\Application Data\Microsoft\Installer\{885A63EA-382B-4DD4-A755-14809B8557D6}\ARPPRODUCTICON.exe

c:\Documents and Settings\Nico\Application Data\Microsoft\Installer\{91057632-CA70-413C-B628-2D3CDBBB906B}\ARPPRODUCTICON.exe

c:\Documents and Settings\Nico\Application Data\Microsoft\Installer\{BAE4D301-FE3F-4B41-813C-81165BD1FB30}\_165d6e64.exe

c:\Documents and Settings\Nico\Application Data\Microsoft\Installer\{BAE4D301-FE3F-4B41-813C-81165BD1FB30}\_3cec1c82.exe

c:\Documents and Settings\Nico\Bureau\blbeta.exe

c:\Documents and Settings\Nico\Bureau\cwshredder.exe

c:\Documents and Settings\Nico\Bureau\HijackThis.exe

c:\Documents and Settings\Nico\Bureau\SPYCOP.EXE

c:\Documents and Settings\Nico\Bureau\chercher\LFiles.exe

c:\Documents and Settings\Nico\Bureau\perso\divers\visual boy 1.7.1\VisualBoyAdvance.exe

c:\Documents and Settings\Nico\Bureau\perso\divers_02\feelinks\data\feelinks.exe

c:\Documents and Settings\Nico\Bureau\perso\gba\VisualBoyAdvance.exe

c:\Documents and Settings\Nico\Bureau\perso\meb\Etude de secteur\_Lingerie\le tout aubade collection complete\aubade_screen saver 2001.exe

c:\Documents and Settings\Nico\Bureau\perso\meb\marketing\divers\NESPRESSO.exe

c:\Documents and Settings\Nico\Bureau\perso\meb\marketing\nespresso\documents\NESPRESSO.exe

c:\Documents and Settings\Nico\Bureau\perso\travail\InstallSketchUp-4.0.170.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\data\feelinks.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz 3D - Koshini & Millennium Girls - Storytime Collection - Victorian Doll - Ps Tx555B.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - Ps Ac724B - Leavandra Hair.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - Ps Mo151B - Figurine.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - Ps Mr101B - Grrrl.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - Ps Tx748B - Girl Skinz.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - Ps Tx758B - Lollipop Flavors.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - The Girl Clothing - Ps Ac885B.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D - The Girl Starter Kit - Ps Ac897.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D Ps Ac884B Girl Catsuit.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D -Ps Ac899B Lollipop Purdee.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D Ps Bn030 Girlmorphs.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D Ps Bn030 Girlposes.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Daz3D Ps Bn030 Girltextures.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Poser - Aiko (Anime Manga Character).exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Poser - Daz3D - Victoria 3.0 - Anna-Marie Goddard Digital Clone.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Poser Daz3D - Angel For Stephanie 3.0 Petite Victoria 3 - Ps Ch084B Exe.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Ps Ac886B Girlsummert.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Ps Mr084B Etherealshadow.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Ps Pe048 Thegirl.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\divers\girl\Ps Tx751B Trixiet.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\souldesign\download\fichier\cutkiller.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\souldesign\download\fichier\renmultifiles.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\souldesign\download\fichier\zplay290.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\souldesign2\download\fichier\cutkiller.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\souldesign2\download\fichier\renmultifiles.exe

c:\Documents and Settings\Nico\Bureau\perso\travaux\souldesign2\download\fichier\zplay290.exe

c:\Documents and Settings\Nico\Local Settings\Temp\guninst.exe

c:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5\C5U3GDK7\SystemDoctor2006FreeInstall_fr[1].exe

c:\Documents and Settings\Nico\Mes documents\mes prog\P2P\eMule0.47a-Installer.exe

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

Malekal_morte · le 8 juillet 2006

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :

-- Ouvre le poste de travail

-- Double-clic sur le disque C

-- Menu Fichier en haut puis Nouveau et nouveau dossier

-- Tapez BFU dans le nom du nouveau dossier

Décompresser le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Ensuite :

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

____

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

-- Ouvre le poste de travail

-- Double clic sur le disque C

-- Double clic sur le dossier Windows

-- Double clic sur le dossier system32

-- Fais un clic droit sur le fichier mrniqc.exe puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier mrniqc.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier mrniqc_nav.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier mrniqc_navps.dat puis dans le menu déroulant clic sur supprimer

Supprime aussi : C:\WINDOWS\bootstat.dat

-- Navigue dans les dossiers et supprime, si existant :

C:\Program Files\MaillSkinner

- Ouvre ewido et clic sur l'onglet Scanner en haut

- Démarre ewido et clique "Complete System Scan"

** Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse **

Clique sur " Save Report " puis sur " Save Report As "

Enregistre ce fichier texte sur ton bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

____

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

-- Copie/Colle ici les rapports :

- du scan Kaspersky

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- Relance un scan sur BlackLight et copie/colle le rapport ici

- ainsi qu'un nouveau log HijackThis

KS_Croc · le 9 juillet 2006

Merci beaucoup, je crois que c'est reglé... J'envoie les résultats tout de même...

^__^

Sunday, July 09, 2006 12:13:20 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 9/07/2006

Kaspersky Anti-Virus database records: 193575

Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

A:\

C:\

D:\

E:\

F:\

G:\

P:\

Scan Statistics

Total number of scanned objects 122209

Number of viruses found 0

Number of infected objects 0 / 0

Number of suspicious objects 0

Duration of the scan process 01:01:54

Infected Object Name Virus Name Last Action

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Nico\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Nico\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Nico\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Nico\Local Settings\Historique\History.IE5\MSHist012006070920060710\index.dat Object is locked skipped

C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Nico\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Nico\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{7CF534B2-5FA3-43F7-951A-43A5CCA55FB3}\RP1773\change.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 02:11:27 09/07/2006

+ Scan result:

C:\Kit Tiscali\Elements_Kit\PC1\Dialer Tiscali\InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

C:\Kit Tiscali\Elements_Kit\PC\Dialer\InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

C:\Kit Tiscali\Programs\InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

C:\Kit Tiscali\Tiscali.exe/Kit Tiscali/Elements_Kit/PC/Dialer/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

C:\Kit Tiscali\Tiscali.exe/Kit Tiscali/Elements_Kit/PC1/Dialer Tiscali/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

C:\Kit Tiscali\Tiscali.exe/Kit Tiscali/Programs/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

D:\Tools\Tiscali\Tiscali.exe/Kit Tiscali/Elements_Kit/PC/Dialer/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

D:\Tools\Tiscali\Tiscali.exe/Kit Tiscali/Elements_Kit/PC1/Dialer Tiscali/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

D:\Tools\Tiscali\Tiscali.exe/Kit Tiscali/Programs/InstallDialer.exe/Dialer.exe -> Heuristic.Win32.Dialer : Ignored.

C:\Documents and Settings\Nico\Cookies\nico@adtech[2].txt -> TrackingCookie.Adtech : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@bluestreak[2].txt -> TrackingCookie.Bluestreak : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@clickbank[1].txt -> TrackingCookie.Clickbank : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@estat[1].txt -> TrackingCookie.Estat : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@serving-sys[2].txt -> TrackingCookie.Serving-sys : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@tacoda[1].txt -> TrackingCookie.Tacoda : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@weborama[1].txt -> TrackingCookie.Weborama : Cleaned.

C:\Documents and Settings\Nico\Cookies\nico@zedo[1].txt -> TrackingCookie.Zedo : Cleaned.

C:\WINDOWS\system32\victoria_in_the_sky.scr -> Trojan.NSAnti.A : Cleaned with backup (quarantined).

::Report end

Script clean par Malekal_morte - http://www.malekal.com

*** SUPPRESSION DES FICHIERS

*** Suppressions de trojans/vers sur...

C:\WINDOWS\inf\unregmp2.exe FOUND

C:\WINDOWS\system32\javaws.exe FOUND

*** Suppressions des adware connus...

07/09/06 12:16:15 [info]: BlackLight Engine 1.0.42 initialized

07/09/06 12:16:15 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/09/06 12:16:15 [Note]: 7019 4

07/09/06 12:16:15 [Note]: 7005 0

07/09/06 12:16:37 [Note]: 7006 0

07/09/06 12:16:37 [Note]: 7011 1244

07/09/06 12:16:37 [Note]: 7026 0

07/09/06 12:16:43 [Note]: FSRAW library version 1.7.1019

07/09/06 12:19:02 [Note]: 2000 1006

07/09/06 12:25:38 [Note]: 7007 0

Logfile of HijackThis v1.99.1

Scan saved at 12:26:03, on 09/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\DitExp.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\tools\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\tools\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\Tools\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE