Rootkit win32
Fermé
ADRIEN2040
Messages postés
8
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
5 janvier 2010
-
15 mars 2009 à 15:39
Utilisateur anonyme - 1 sept. 2009 à 05:58
Utilisateur anonyme - 1 sept. 2009 à 05:58
A voir également:
- Rootkit win32
- Trojan win32 - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
- Puabundler win32 - Forum Virus
- Win32/offercore ✓ - Forum Virus
- Hacktool win32 - Forum Virus
8 réponses
Utilisateur anonyme
15 mars 2009 à 15:44
15 mars 2009 à 15:44
salut :
Télécharge Navilog1 depuis-ce lien :
Navilog1
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
A
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Au menu principal, Fais le choix 1 >> Recherche
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... *** >>>>> Le fix peut durer une dizaine de minutes ;)
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle le rapport ici.
ensuite :
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
/!\ Déconnectes toi et fermes toutes applications en cours
? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-removersituée sur ton bureau
? Au menu principal choisi l'option "Recherche"
? Postes le rapport qui apparait à la fin .
( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall)
Télécharge Navilog1 depuis-ce lien :
Navilog1
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
A
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Au menu principal, Fais le choix 1 >> Recherche
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... *** >>>>> Le fix peut durer une dizaine de minutes ;)
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle le rapport ici.
ensuite :
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
/!\ Déconnectes toi et fermes toutes applications en cours
? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-removersituée sur ton bureau
? Au menu principal choisi l'option "Recherche"
? Postes le rapport qui apparait à la fin .
( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall)
ADRIEN2040
Messages postés
8
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
5 janvier 2010
17 mars 2009 à 19:40
17 mars 2009 à 19:40
salut
Merci beaucoup de m'apporter de l'aide vila le rapport Navilog
Search Navipromo version 3.7.6 commencé le 17/03/2009 à 18:41:15,42
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix FirstBIOS(tm) Notebook Pro Version 2.0
USER : Simon MSIKA ( Administrator )
BOOT : Normal boot
Antivirus : AntiVirus Firewall 6.15 6.15 (Activated)
Firewall : AntiVirus Firewall 6.15 6.15 (Activated)
C:\ (Local Disk) - NTFS - Total:27 Go (Free:15 Go)
D:\ (Local Disk) - NTFS - Total:27 Go (Free:23 Go)
E:\ (CD or DVD)
G:\ (USB)
Recherche executé en mode normal
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
...\HotTVPlayer trouvé !
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\adrien\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\adrien\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\adrien\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
Fichiers trouvés :
vqfcva.exe trouvé !
vqfcva.dat trouvé !
vqfcva_nav.dat trouvé !
vqfcva_navps.dat trouvé !
* Recherche dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\adrien\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\system32\HotTVPlayer.dll trouvé !
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
HKEY_CURRENT_USER\Software\Lanconfig
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vqfcva"="c:\\windows\\system32\\vqfcva.exe vqfcva"
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
vqfcva.exe trouvé !
vqfcva.dat trouvé !
vqfcva_nav.dat trouvé !
vqfcva_navps.dat trouvé !
* Dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" :
* Dans "C:\DOCUME~1\adrien\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 17/03/2009 à 19:14:22,08 ***
voila je vais faire l'autre et envoye un autre message
Merci beaucoup de m'apporter de l'aide vila le rapport Navilog
Search Navipromo version 3.7.6 commencé le 17/03/2009 à 18:41:15,42
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix FirstBIOS(tm) Notebook Pro Version 2.0
USER : Simon MSIKA ( Administrator )
BOOT : Normal boot
Antivirus : AntiVirus Firewall 6.15 6.15 (Activated)
Firewall : AntiVirus Firewall 6.15 6.15 (Activated)
C:\ (Local Disk) - NTFS - Total:27 Go (Free:15 Go)
D:\ (Local Disk) - NTFS - Total:27 Go (Free:23 Go)
E:\ (CD or DVD)
G:\ (USB)
Recherche executé en mode normal
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
...\HotTVPlayer trouvé !
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\adrien\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\adrien\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\adrien\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
Fichiers trouvés :
vqfcva.exe trouvé !
vqfcva.dat trouvé !
vqfcva_nav.dat trouvé !
vqfcva_navps.dat trouvé !
* Recherche dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\adrien\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\system32\HotTVPlayer.dll trouvé !
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
HKEY_CURRENT_USER\Software\Lanconfig
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vqfcva"="c:\\windows\\system32\\vqfcva.exe vqfcva"
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
vqfcva.exe trouvé !
vqfcva.dat trouvé !
vqfcva_nav.dat trouvé !
vqfcva_navps.dat trouvé !
* Dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" :
* Dans "C:\DOCUME~1\adrien\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 17/03/2009 à 19:14:22,08 ***
voila je vais faire l'autre et envoye un autre message
ADRIEN2040
Messages postés
8
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
5 janvier 2010
18 mars 2009 à 07:21
18 mars 2009 à 07:21
re bonjour voila l'autre rapport comme prevu
------- LOGFILE OF AD-REMOVER 1.1.1.8 | ONLY XP/VISTA -------
Updated by C_XX on 15/03/2009 at 12:00
Start at: 20:49:07, Mar 17/03/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: VIAOMSIKA
Current User: Simon MSIKA - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 58
+-----------------| Boonty/Boonty Games Elements Found:
.
.
+-----------------| Eorezo Elements Found:
HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\Software\Classes\AppID\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoclock
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
.
C:\Program Files\EoRezo
C:\Documents and Settings\Simon MSIKA\Application Data\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0FCAC357.pf
+-----------------| Infected Poker Softwares Elements Found:
.
+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:
.
.
+-----------------| It's TV Elements Found:
.
+-----------------| Sweetim Elements Found:
.
============ Other Adwares Found ============
.
HKCR\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKCR\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKCR\optimizer.adssite2
HKCR\optimizer.adssite2.1
HKCR\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKCU\Software\Microsoft\adssite
HKCU\Software\Microsoft\HID_Layer
HKLM\Software\Classes\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\Software\Classes\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKLM\Software\Classes\optimizer.adssite2
HKLM\Software\Classes\optimizer.adssite2.1
HKLM\Software\Classes\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adssite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ae827298-4f15-5782-fa17-75ddfdd0bfea
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DcadsGames
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\superiorads
.
C:\WINDOWS\System32\WhoisCL.exe
C:\Program Files\contexttool
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\Adssite Games Collection
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\PlayMP3z
C:\Documents and Settings\Simon MSIKA\Application Data\Mozilla\Firefox\Profiles\f4udpk8w.default\searchplugins\Yoog
Search.xml
C:\Program Files\Mozilla FireFox\Components\d205e287-ba60-b49e-63db-2d628da4bc90.dll
C:\WINDOWS\System32\nsc54.dll
C:\WINDOWS\System32\nsp23.dll
C:\WINDOWS\System32\nsr21A.dll
C:\WINDOWS\System32\nss21C.dll
C:\WINDOWS\System32\nsx21B.dll
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp275F.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp295C.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp365E.tmp
+-----------------| Added Scan:
---- Mozilla FireFox Version 3.0.7 ----
ProfilePath: f4udpk8w.default (Simon MSIKA)
.
Prefs.js: Browser.Search.DefaultEngineName: "Yoog Search"
Prefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(Prefs.js) FOUND: user_pref("browser.search.defaultenginename", "Yoog Search");
(Prefs.js) FOUND: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
(Prefs.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(Prefs.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
Invalidprefs.js: Browser.Search.DefaultEngineName: "Google"
Invalidprefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Invalidprefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
(Invalidprefs.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(Invalidprefs.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
User.js: Browser.Search.DefaultEngineName: "Yoog Search"
User.js: Browser.Search.SelectedEngine: "Yoog Search"
User.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(User.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(User.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
(User.js) FOUND: user_pref("browser.search.defaultenginename", "Yoog Search");
(User.js) FOUND: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
---- Internet Explorer Version 6.0.2900.2180 ----
+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Default_Page_URL: hxxp://fr.msn.com/
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-[HKEY_USERS\S-1-5-21-1697908636-2926861840-904498376-1005\..\Internet Explorer\Main]
Default_Page_URL: hxxp://fr.msn.com/
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.club-vaio.sony-europe.com/
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
+---------------------------------------------------------------------------+
7213 Byte(s) - C:\Ad-Report-Scan-17.03.2009.log
0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE
End at: 7:11:45 | 18/03/2009
.
+-----------------| E.O.F - 139 Lines
.
------- LOGFILE OF AD-REMOVER 1.1.1.8 | ONLY XP/VISTA -------
Updated by C_XX on 15/03/2009 at 12:00
Start at: 20:49:07, Mar 17/03/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: VIAOMSIKA
Current User: Simon MSIKA - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 58
+-----------------| Boonty/Boonty Games Elements Found:
.
.
+-----------------| Eorezo Elements Found:
HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\Software\Classes\AppID\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoclock
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
.
C:\Program Files\EoRezo
C:\Documents and Settings\Simon MSIKA\Application Data\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0FCAC357.pf
+-----------------| Infected Poker Softwares Elements Found:
.
+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:
.
.
+-----------------| It's TV Elements Found:
.
+-----------------| Sweetim Elements Found:
.
============ Other Adwares Found ============
.
HKCR\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKCR\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKCR\optimizer.adssite2
HKCR\optimizer.adssite2.1
HKCR\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKCU\Software\Microsoft\adssite
HKCU\Software\Microsoft\HID_Layer
HKLM\Software\Classes\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\Software\Classes\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKLM\Software\Classes\optimizer.adssite2
HKLM\Software\Classes\optimizer.adssite2.1
HKLM\Software\Classes\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adssite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ae827298-4f15-5782-fa17-75ddfdd0bfea
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DcadsGames
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\superiorads
.
C:\WINDOWS\System32\WhoisCL.exe
C:\Program Files\contexttool
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\Adssite Games Collection
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\PlayMP3z
C:\Documents and Settings\Simon MSIKA\Application Data\Mozilla\Firefox\Profiles\f4udpk8w.default\searchplugins\Yoog
Search.xml
C:\Program Files\Mozilla FireFox\Components\d205e287-ba60-b49e-63db-2d628da4bc90.dll
C:\WINDOWS\System32\nsc54.dll
C:\WINDOWS\System32\nsp23.dll
C:\WINDOWS\System32\nsr21A.dll
C:\WINDOWS\System32\nss21C.dll
C:\WINDOWS\System32\nsx21B.dll
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp275F.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp295C.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp365E.tmp
+-----------------| Added Scan:
---- Mozilla FireFox Version 3.0.7 ----
ProfilePath: f4udpk8w.default (Simon MSIKA)
.
Prefs.js: Browser.Search.DefaultEngineName: "Yoog Search"
Prefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(Prefs.js) FOUND: user_pref("browser.search.defaultenginename", "Yoog Search");
(Prefs.js) FOUND: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
(Prefs.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(Prefs.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
Invalidprefs.js: Browser.Search.DefaultEngineName: "Google"
Invalidprefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Invalidprefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
(Invalidprefs.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(Invalidprefs.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
User.js: Browser.Search.DefaultEngineName: "Yoog Search"
User.js: Browser.Search.SelectedEngine: "Yoog Search"
User.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(User.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(User.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
(User.js) FOUND: user_pref("browser.search.defaultenginename", "Yoog Search");
(User.js) FOUND: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
---- Internet Explorer Version 6.0.2900.2180 ----
+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Default_Page_URL: hxxp://fr.msn.com/
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-[HKEY_USERS\S-1-5-21-1697908636-2926861840-904498376-1005\..\Internet Explorer\Main]
Default_Page_URL: hxxp://fr.msn.com/
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.club-vaio.sony-europe.com/
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
+---------------------------------------------------------------------------+
7213 Byte(s) - C:\Ad-Report-Scan-17.03.2009.log
0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE
End at: 7:11:45 | 18/03/2009
.
+-----------------| E.O.F - 139 Lines
.
Utilisateur anonyme
18 mars 2009 à 13:59
18 mars 2009 à 13:59
salut :)
et bien !!!! un nid a infections !!
/!\ Déconnecte-toi et ferme toutes applications en cours /!\
Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.
Choisis A
Puis choisis S, le programme va travailler.
Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report.log)
/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)
ensuite :
Option 2 - Suppression :
* Double clique sur le raccourci de Navilog.
* Choisis l'option 2 puis valide. (Entrée)
* Laisse toi guider.
* Ton ordinateur va redémarrer, sinon fais le manuellement.
* Ton bureau va disparaître.
* Après un certain temps, le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport.
* Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau
Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
VIP
Si tu les trouves, fais ceci :
* Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
* Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.
Ensuite pour chacun des certificats présents sur ton bureau :
* Va sur le site Web :
https://www.bleepingcomputer.com/submit-malware.php?channel=35
* Copie/colle ceci dans la case 'Link to Topic' :
le nom du certificat (Montorgueil ,......)
* Copie/colle ceci dans la case 'Browse to the File' :
Le certificat correspondant que tu avais exportés vers ton bureau
Si c'est fait, supprime enfin le certificat présent sur ton bureau.
Les programmes suivants installent cette infection :
* go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer
* Sur le site www.games-desktop.com (n'allez pas dessus!!)
* BitDownload
* BitGrabber
* BitRoll
* MessengerPlus! 3 sous le nom de sponsors
* Messenger Plus! Live sous le nom de sponsors
* NetPumper
* TorrentQ
* Torrent101
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site hxxp://www.games-desktop.com (Ne pas aller dessus!)
* Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
et bien !!!! un nid a infections !!
/!\ Déconnecte-toi et ferme toutes applications en cours /!\
Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.
Choisis A
Puis choisis S, le programme va travailler.
Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report.log)
/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)
ensuite :
Option 2 - Suppression :
* Double clique sur le raccourci de Navilog.
* Choisis l'option 2 puis valide. (Entrée)
* Laisse toi guider.
* Ton ordinateur va redémarrer, sinon fais le manuellement.
* Ton bureau va disparaître.
* Après un certain temps, le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport.
* Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau
Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
VIP
Si tu les trouves, fais ceci :
* Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
* Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.
Ensuite pour chacun des certificats présents sur ton bureau :
* Va sur le site Web :
https://www.bleepingcomputer.com/submit-malware.php?channel=35
* Copie/colle ceci dans la case 'Link to Topic' :
le nom du certificat (Montorgueil ,......)
* Copie/colle ceci dans la case 'Browse to the File' :
Le certificat correspondant que tu avais exportés vers ton bureau
Si c'est fait, supprime enfin le certificat présent sur ton bureau.
Les programmes suivants installent cette infection :
* go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer
* Sur le site www.games-desktop.com (n'allez pas dessus!!)
* BitDownload
* BitGrabber
* BitRoll
* MessengerPlus! 3 sous le nom de sponsors
* Messenger Plus! Live sous le nom de sponsors
* NetPumper
* TorrentQ
* Torrent101
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site hxxp://www.games-desktop.com (Ne pas aller dessus!)
* Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
ADRIEN2040
Messages postés
8
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
5 janvier 2010
19 mars 2009 à 06:12
19 mars 2009 à 06:12
salut
je n'ai pas reuusi a finir le clean de ad remover car pendan 7h il finissait par un scan additionel et du coup c'etait un peu long neamoins g le rapport
------- LOGFILE OF AD-REMOVER 1.1.1.8 | ONLY XP/VISTA -------
Updated by C_XX on 15/03/2009 at 12:00
**** LIMITED TO ****
Boonty/BoontyGames
Eorezo
Infected Poker Softwares
FunWebProduct/MyWay/MyWebSearch
It's TV
Sweetim
Other Adwares
********************
Start at: 14:47:50, Mer 18/03/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: VIAOMSIKA
Current User: Simon MSIKA - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 68
(!) ---- IE start pages/Tabs reset
+-----------------| Boonty/Boonty Games Elements Deleted :
.
.
+-----------------| Eorezo Elements Deleted :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoclock
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
.
C:\Program Files\EoRezo
C:\Documents and Settings\Simon MSIKA\Application Data\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0FCAC357.pf
+-----------------| Infected Poker Softwares Elements Deleted :
.
+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :
.
.
+-----------------| It's TV Elements Deleted :
.
+-----------------| Sweetim Elements Deleted :
.
============ Other Adwares Deleted ============
.
HKCR\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKCR\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKCR\optimizer.adssite2
HKCR\optimizer.adssite2.1
HKCR\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKCU\Software\Microsoft\adssite
HKCU\Software\Microsoft\HID_Layer
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adssite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ae827298-4f15-5782-fa17-75ddfdd0bfea
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DcadsGames
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\superiorads
.
C:\WINDOWS\System32\WhoisCL.exe
C:\Program Files\contexttool
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\Adssite Games Collection
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\PlayMP3z
C:\Documents and Settings\Simon MSIKA\Application Data\Mozilla\Firefox\Profiles\f4udpk8w.default\searchplugins\Yoog Search.xml
C:\Program Files\Mozilla FireFox\Components\d205e287-ba60-b49e-63db-2d628da4bc90.dll
C:\WINDOWS\System32\nsc54.dll
C:\WINDOWS\System32\nsp23.dll
C:\WINDOWS\System32\nsr21A.dll
C:\WINDOWS\System32\nss21C.dll
C:\WINDOWS\System32\nsx21B.dll
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp275F.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp295C.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp365E.tmp
(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.
+-----------------| Added Scan :
---- Mozilla FireFox Version 3.0.7 ----
ProfilePath: f4udpk8w.default (Simon MSIKA)
.
Prefs.js: Browser.Search.DefaultEngineName: "Yoog Search"
Prefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(Prefs.js) REMOVED: user_pref("browser.search.defaultenginename", "Yoog Search");
(Prefs.js) REMOVED: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
(Prefs.js) REMOVED: user_pref("browser.search.selectedEngine", "Yoog Search");
(Prefs.js) REMOVED: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
Invalidprefs.js: Browser.Search.DefaultEngineName: "Google"
Invalidprefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Invalidprefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
je n'ai pas reuusi a finir le clean de ad remover car pendan 7h il finissait par un scan additionel et du coup c'etait un peu long neamoins g le rapport
------- LOGFILE OF AD-REMOVER 1.1.1.8 | ONLY XP/VISTA -------
Updated by C_XX on 15/03/2009 at 12:00
**** LIMITED TO ****
Boonty/BoontyGames
Eorezo
Infected Poker Softwares
FunWebProduct/MyWay/MyWebSearch
It's TV
Sweetim
Other Adwares
********************
Start at: 14:47:50, Mer 18/03/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: VIAOMSIKA
Current User: Simon MSIKA - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 68
(!) ---- IE start pages/Tabs reset
+-----------------| Boonty/Boonty Games Elements Deleted :
.
.
+-----------------| Eorezo Elements Deleted :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoclock
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
.
C:\Program Files\EoRezo
C:\Documents and Settings\Simon MSIKA\Application Data\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0FCAC357.pf
+-----------------| Infected Poker Softwares Elements Deleted :
.
+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :
.
.
+-----------------| It's TV Elements Deleted :
.
+-----------------| Sweetim Elements Deleted :
.
============ Other Adwares Deleted ============
.
HKCR\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKCR\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKCR\optimizer.adssite2
HKCR\optimizer.adssite2.1
HKCR\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKCU\Software\Microsoft\adssite
HKCU\Software\Microsoft\HID_Layer
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adssite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ae827298-4f15-5782-fa17-75ddfdd0bfea
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DcadsGames
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\superiorads
.
C:\WINDOWS\System32\WhoisCL.exe
C:\Program Files\contexttool
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\Adssite Games Collection
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\PlayMP3z
C:\Documents and Settings\Simon MSIKA\Application Data\Mozilla\Firefox\Profiles\f4udpk8w.default\searchplugins\Yoog Search.xml
C:\Program Files\Mozilla FireFox\Components\d205e287-ba60-b49e-63db-2d628da4bc90.dll
C:\WINDOWS\System32\nsc54.dll
C:\WINDOWS\System32\nsp23.dll
C:\WINDOWS\System32\nsr21A.dll
C:\WINDOWS\System32\nss21C.dll
C:\WINDOWS\System32\nsx21B.dll
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp275F.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp295C.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp365E.tmp
(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.
+-----------------| Added Scan :
---- Mozilla FireFox Version 3.0.7 ----
ProfilePath: f4udpk8w.default (Simon MSIKA)
.
Prefs.js: Browser.Search.DefaultEngineName: "Yoog Search"
Prefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(Prefs.js) REMOVED: user_pref("browser.search.defaultenginename", "Yoog Search");
(Prefs.js) REMOVED: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
(Prefs.js) REMOVED: user_pref("browser.search.selectedEngine", "Yoog Search");
(Prefs.js) REMOVED: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
Invalidprefs.js: Browser.Search.DefaultEngineName: "Google"
Invalidprefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Invalidprefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ADRIEN2040
Messages postés
8
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
5 janvier 2010
19 mars 2009 à 17:25
19 mars 2009 à 17:25
voila le rapport de navilog qui lui a finit normalement lui enfin je pense... XD
Clean Navipromo version 3.7.6 commencé le 19/03/2009 à 6:12:44,82
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix FirstBIOS(tm) Notebook Pro Version 2.0
USER : Simon MSIKA ( Administrator )
BOOT : Normal boot
Antivirus : AntiVirus Firewall 6.15 6.15 (Activated)
Firewall : AntiVirus Firewall 6.15 6.15 (Activated)
C:\ (Local Disk) - NTFS - Total:27 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:27 Go (Free:23 Go)
E:\ (CD or DVD)
G:\ (USB)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage exécuté au redémarrage de l'ordinateur
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
vqfcva.exe trouvé !
Copie vqfcva.exe réalisée avec succès !
vqfcva.exe supprimé !
vqfcva.dat trouvé !
Copie vqfcva.dat réalisée avec succès !
vqfcva.dat supprimé !
vqfcva_nav.dat trouvé !
Copie vqfcva_nav.dat réalisée avec succès !
vqfcva_nav.dat supprimé !
vqfcva_navps.dat trouvé !
Copie vqfcva_navps.dat réalisée avec succès !
vqfcva_navps.dat supprimé !
C:\WINDOWS\prefetch\vqfcva*.pf trouvé !
Copie C:\WINDOWS\prefetch\vqfcva*.pf réalisée avec succès !
C:\WINDOWS\prefetch\vqfcva*.pf supprimé !
* Suppression dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\adrien\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINDOWS" ***
*** Suppression dossiers dans "C:\Program Files" ***
...\HotTVPlayer ...suppression...
...\HotTVPlayer supprimé !
*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\adrien\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\adrien\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\menudm~1\progra~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\adrien\menudm~1\progra~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\menudm~1\progra~1" ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\system32\HotTVPlayer.dll supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Simon MSIKA\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINDOWS\system32" *
* Dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *
* Dans "C:\DOCUME~1\adrien\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !
*** Recherche autres dossiers et fichiers connus ***
*** Nettoyage terminé le 19/03/2009 à 6:30:34,79 ***
Clean Navipromo version 3.7.6 commencé le 19/03/2009 à 6:12:44,82
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix FirstBIOS(tm) Notebook Pro Version 2.0
USER : Simon MSIKA ( Administrator )
BOOT : Normal boot
Antivirus : AntiVirus Firewall 6.15 6.15 (Activated)
Firewall : AntiVirus Firewall 6.15 6.15 (Activated)
C:\ (Local Disk) - NTFS - Total:27 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:27 Go (Free:23 Go)
E:\ (CD or DVD)
G:\ (USB)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage exécuté au redémarrage de l'ordinateur
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
vqfcva.exe trouvé !
Copie vqfcva.exe réalisée avec succès !
vqfcva.exe supprimé !
vqfcva.dat trouvé !
Copie vqfcva.dat réalisée avec succès !
vqfcva.dat supprimé !
vqfcva_nav.dat trouvé !
Copie vqfcva_nav.dat réalisée avec succès !
vqfcva_nav.dat supprimé !
vqfcva_navps.dat trouvé !
Copie vqfcva_navps.dat réalisée avec succès !
vqfcva_navps.dat supprimé !
C:\WINDOWS\prefetch\vqfcva*.pf trouvé !
Copie C:\WINDOWS\prefetch\vqfcva*.pf réalisée avec succès !
C:\WINDOWS\prefetch\vqfcva*.pf supprimé !
* Suppression dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\adrien\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINDOWS" ***
*** Suppression dossiers dans "C:\Program Files" ***
...\HotTVPlayer ...suppression...
...\HotTVPlayer supprimé !
*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\adrien\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\adrien\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\menudm~1\progra~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\adrien\menudm~1\progra~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\menudm~1\progra~1" ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\system32\HotTVPlayer.dll supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Simon MSIKA\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINDOWS\system32" *
* Dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *
* Dans "C:\DOCUME~1\adrien\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !
*** Recherche autres dossiers et fichiers connus ***
*** Nettoyage terminé le 19/03/2009 à 6:30:34,79 ***
Utilisateur anonyme
19 mars 2009 à 17:53
19 mars 2009 à 17:53
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
Télécharges :
Malwarebytes ou :
Malwarebytes
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX
* Potasses le Tuto pour te familiariser avec le prg :
( cela dis, il est très simple d'utilisation ).
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's .
Fais un examen dit "Complet" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Télécharges :
Malwarebytes ou :
Malwarebytes
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX
* Potasses le Tuto pour te familiariser avec le prg :
( cela dis, il est très simple d'utilisation ).
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's .
Fais un examen dit "Complet" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
ADRIEN2040
Messages postés
8
Date d'inscription
dimanche 15 mars 2009
Statut
Membre
Dernière intervention
5 janvier 2010
31 août 2009 à 16:46
31 août 2009 à 16:46
Merci de l'aide que vous mavez apporte meme si ce remerciement est un peu tardif !!!