Sujet Précédent Sujet Suivant

Rootkit win32

Fermé
ADRIEN2040 Messages postés 8 Date d'inscription dimanche 15 mars 2009 Statut Membre Dernière intervention 5 janvier 2010 - 15 mars 2009 à 15:39
 Utilisateur anonyme - 1 sept. 2009 à 05:58
Bonjour,
Voila je possède un virus sur mon ordinateur portable, ce virus s'appelle ROOTKIT WIN32 P... enfin bref j'ai regarde les messegs d'autre personne et au final j'en ai conckut qu'il fallait faire une analyse hijackthis, la voila
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:28:40, on 15/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\powerpanel\Program\PcfMgr.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\eoRezo\EoEngine.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Documents and Settings\Simon MSIKA\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\windows\system32\vqfcva.exe
C:\Program Files\Vista Start Menu\VistaStartMenu.exe
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://lo.st#first
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Program Files\ContextTool\ContextTool-3.dll
O2 - BHO: mysidesearch search enhancer - {33678ED8-CA6E-2628-A0D6-249E03858006} - C:\WINDOWS\system32\suoryswagi.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: dcads - {733716E1-76D2-4003-AC39-845281C0EF85} - C:\WINDOWS\system32\nsc54.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nsw6D3.dll (file missing)
O2 - BHO: (no name) - {A02B3A58-E7B6-4D5E-8677-00D38EBD6830} - C:\WINDOWS\system32\catsr.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: dcads - {f2a33478-1ed0-a6b1-bad6-c44d55c574ca} - C:\WINDOWS\system32\nsy4B.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [MDNS] C:\WINDOWS\system32\service.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SansenDommagement] C:\Program Files\SansenDommagement\SysRep.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Simon MSIKA\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [InternetCalls] "C:\Program Files\InternetCalls.com\InternetCalls\InternetCalls.exe" -nosplash -minimized
O4 - HKCU\..\Run: [TimeObj] C:\DOCUME~1\SIMONM~1\APPLIC~1\FORDMA~1\gpl chin.exe
O4 - HKCU\..\Run: [vqfcva] c:\windows\system32\vqfcva.exe vqfcva
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VistaStartMenu] "C:\Program Files\Vista Start Menu\VistaStartMenu.exe"
O4 - HKCU\..\Run: [UberIcon Manager] C:\WINDOWS\Resources\Themes\VistaXP\ui\UberIcon Manager.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.EXE (file missing)
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Sony Corporation - C:\Program Files\sony\vaio media music server\SSSvr.exe
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe

8 réponses

Réponse 1 / 8
Utilisateur anonyme
15 mars 2009 à 15:44
salut :


Télécharge Navilog1 depuis-ce lien :

Navilog1

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
A
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).


Au menu principal, Fais le choix 1 >> Recherche
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... *** >>>>> Le fix peut durer une dizaine de minutes ;)
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle le rapport ici.

ensuite :


Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-removersituée sur ton bureau
? Au menu principal choisi l'option "Recherche"
? Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall)
0
Réponse 2 / 8
ADRIEN2040 Messages postés 8 Date d'inscription dimanche 15 mars 2009 Statut Membre Dernière intervention 5 janvier 2010
17 mars 2009 à 19:40
salut
Merci beaucoup de m'apporter de l'aide vila le rapport Navilog

Search Navipromo version 3.7.6 commencé le 17/03/2009 à 18:41:15,42

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix FirstBIOS(tm) Notebook Pro Version 2.0
USER : Simon MSIKA ( Administrator )
BOOT : Normal boot

Antivirus : AntiVirus Firewall 6.15 6.15 (Activated)
Firewall : AntiVirus Firewall 6.15 6.15 (Activated)

C:\ (Local Disk) - NTFS - Total:27 Go (Free:15 Go)
D:\ (Local Disk) - NTFS - Total:27 Go (Free:23 Go)
E:\ (CD or DVD)
G:\ (USB)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***

...\HotTVPlayer trouvé !

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\adrien\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\adrien\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Simon MSIKA\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\adrien\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

vqfcva.exe trouvé !
vqfcva.dat trouvé !
vqfcva_nav.dat trouvé !
vqfcva_navps.dat trouvé !

* Recherche dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\adrien\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\system32\HotTVPlayer.dll trouvé !

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vqfcva"="c:\\windows\\system32\\vqfcva.exe vqfcva"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

vqfcva.exe trouvé !
vqfcva.dat trouvé !
vqfcva_nav.dat trouvé !
vqfcva_navps.dat trouvé !

* Dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" :


* Dans "C:\DOCUME~1\adrien\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 17/03/2009 à 19:14:22,08 ***


voila je vais faire l'autre et envoye un autre message
0
ADRIEN2040 Messages postés 8 Date d'inscription dimanche 15 mars 2009 Statut Membre Dernière intervention 5 janvier 2010
18 mars 2009 à 07:21
re bonjour voila l'autre rapport comme prevu




------- LOGFILE OF AD-REMOVER 1.1.1.8 | ONLY XP/VISTA -------

Updated by C_XX on 15/03/2009 at 12:00

Start at: 20:49:07, Mar 17/03/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: VIAOMSIKA
Current User: Simon MSIKA - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 58

+-----------------| Boonty/Boonty Games Elements Found:

.
.

+-----------------| Eorezo Elements Found:

HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\Software\Classes\AppID\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoclock
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
.
C:\Program Files\EoRezo
C:\Documents and Settings\Simon MSIKA\Application Data\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0FCAC357.pf

+-----------------| Infected Poker Softwares Elements Found:

.

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

.
.

+-----------------| It's TV Elements Found:

.

+-----------------| Sweetim Elements Found:

.

============ Other Adwares Found ============

.
HKCR\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKCR\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKCR\optimizer.adssite2
HKCR\optimizer.adssite2.1
HKCR\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKCU\Software\Microsoft\adssite
HKCU\Software\Microsoft\HID_Layer
HKLM\Software\Classes\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\Software\Classes\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKLM\Software\Classes\optimizer.adssite2
HKLM\Software\Classes\optimizer.adssite2.1
HKLM\Software\Classes\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adssite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ae827298-4f15-5782-fa17-75ddfdd0bfea
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DcadsGames
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\superiorads
.
C:\WINDOWS\System32\WhoisCL.exe
C:\Program Files\contexttool
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\Adssite Games Collection
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\PlayMP3z
C:\Documents and Settings\Simon MSIKA\Application Data\Mozilla\Firefox\Profiles\f4udpk8w.default\searchplugins\Yoog

Search.xml
C:\Program Files\Mozilla FireFox\Components\d205e287-ba60-b49e-63db-2d628da4bc90.dll
C:\WINDOWS\System32\nsc54.dll
C:\WINDOWS\System32\nsp23.dll
C:\WINDOWS\System32\nsr21A.dll
C:\WINDOWS\System32\nss21C.dll
C:\WINDOWS\System32\nsx21B.dll
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp275F.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp295C.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp365E.tmp

+-----------------| Added Scan:

---- Mozilla FireFox Version 3.0.7 ----

ProfilePath: f4udpk8w.default (Simon MSIKA)
.
Prefs.js: Browser.Search.DefaultEngineName: "Yoog Search"
Prefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(Prefs.js) FOUND: user_pref("browser.search.defaultenginename", "Yoog Search");
(Prefs.js) FOUND: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
(Prefs.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(Prefs.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
Invalidprefs.js: Browser.Search.DefaultEngineName: "Google"
Invalidprefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Invalidprefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
(Invalidprefs.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(Invalidprefs.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
User.js: Browser.Search.DefaultEngineName: "Yoog Search"
User.js: Browser.Search.SelectedEngine: "Yoog Search"
User.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(User.js) FOUND: user_pref("browser.search.selectedEngine", "Yoog Search");
(User.js) FOUND: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
(User.js) FOUND: user_pref("browser.search.defaultenginename", "Yoog Search");
(User.js) FOUND: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");

---- Internet Explorer Version 6.0.2900.2180 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://fr.msn.com/
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

+-[HKEY_USERS\S-1-5-21-1697908636-2926861840-904498376-1005\..\Internet Explorer\Main]

Default_Page_URL: hxxp://fr.msn.com/
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.club-vaio.sony-europe.com/
Default_Search_URL: hxxp://www.google.com/ie
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]


+---------------------------------------------------------------------------+

7213 Byte(s) - C:\Ad-Report-Scan-17.03.2009.log

0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

End at: 7:11:45 | 18/03/2009
.
+-----------------| E.O.F - 139 Lines
.
0
Réponse 3 / 8
Utilisateur anonyme
18 mars 2009 à 13:59
salut :)

et bien !!!! un nid a infections !!

/!\ Déconnecte-toi et ferme toutes applications en cours /!\


Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

Choisis A

Puis choisis S, le programme va travailler.

Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.log)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)

ensuite :


Option 2 - Suppression :

* Double clique sur le raccourci de Navilog.
* Choisis l'option 2 puis valide. (Entrée)
* Laisse toi guider.
* Ton ordinateur va redémarrer, sinon fais le manuellement.
* Ton bureau va disparaître.
* Après un certain temps, le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport.
* Referme le Bloc-notes. Ton bureau va maintenant réapparaître.


Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
Tapes explorer et valide. Cela te fera apparaitre ton bureau

Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

VIP

Si tu les trouves, fais ceci :
* Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
* Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.

Ensuite pour chacun des certificats présents sur ton bureau :
* Va sur le site Web :
https://www.bleepingcomputer.com/submit-malware.php?channel=35
* Copie/colle ceci dans la case 'Link to Topic' :
le nom du certificat (Montorgueil ,......)
* Copie/colle ceci dans la case 'Browse to the File' :
Le certificat correspondant que tu avais exportés vers ton bureau

Si c'est fait, supprime enfin le certificat présent sur ton bureau.

Les programmes suivants installent cette infection :

* go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer
* Sur le site www.games-desktop.com (n'allez pas dessus!!)
* BitDownload
* BitGrabber
* BitRoll
* MessengerPlus! 3 sous le nom de sponsors
* Messenger Plus! Live sous le nom de sponsors
* NetPumper
* TorrentQ
* Torrent101
* Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
* Sur le site hxxp://www.games-desktop.com (Ne pas aller dessus!)

* Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
0
Réponse 4 / 8
ADRIEN2040 Messages postés 8 Date d'inscription dimanche 15 mars 2009 Statut Membre Dernière intervention 5 janvier 2010
19 mars 2009 à 06:12
salut
je n'ai pas reuusi a finir le clean de ad remover car pendan 7h il finissait par un scan additionel et du coup c'etait un peu long neamoins g le rapport



------- LOGFILE OF AD-REMOVER 1.1.1.8 | ONLY XP/VISTA -------

Updated by C_XX on 15/03/2009 at 12:00

**** LIMITED TO ****

Boonty/BoontyGames
Eorezo
Infected Poker Softwares
FunWebProduct/MyWay/MyWebSearch
It's TV
Sweetim
Other Adwares

********************

Start at: 14:47:50, Mer 18/03/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: VIAOMSIKA
Current User: Simon MSIKA - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 68

(!) ---- IE start pages/Tabs reset

+-----------------| Boonty/Boonty Games Elements Deleted :

.
.

+-----------------| Eorezo Elements Deleted :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoengine
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Eoclock
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Softwarehelper
HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
.
C:\Program Files\EoRezo
C:\Documents and Settings\Simon MSIKA\Application Data\EoRezo
C:\WINDOWS\Prefetch\SOFTWAREUPDATEHP.EXE-0FCAC357.pf

+-----------------| Infected Poker Softwares Elements Deleted :

.

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :

.
.

+-----------------| It's TV Elements Deleted :

.

+-----------------| Sweetim Elements Deleted :

.

============ Other Adwares Deleted ============

.
HKCR\CLSID\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKCR\Interface\{48DC6FFB-64D7-42E8-949D-8EF2641EB73A}
HKCR\optimizer.adssite2
HKCR\optimizer.adssite2.1
HKCR\TypeLib\{B4094603-DDA9-4CAF-9B13-0AD1034C9C53}
HKCU\Software\Microsoft\adssite
HKCU\Software\Microsoft\HID_Layer
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9C8A568E-4201-478a-8536-526CF371D2E2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\adssite
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ae827298-4f15-5782-fa17-75ddfdd0bfea
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dcads
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DcadsGames
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\superiorads
.
C:\WINDOWS\System32\WhoisCL.exe
C:\Program Files\contexttool
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\Adssite Games Collection
C:\Documents and Settings\Simon MSIKA\Menudm~1\Progra~1\PlayMP3z
C:\Documents and Settings\Simon MSIKA\Application Data\Mozilla\Firefox\Profiles\f4udpk8w.default\searchplugins\Yoog Search.xml
C:\Program Files\Mozilla FireFox\Components\d205e287-ba60-b49e-63db-2d628da4bc90.dll
C:\WINDOWS\System32\nsc54.dll
C:\WINDOWS\System32\nsp23.dll
C:\WINDOWS\System32\nsr21A.dll
C:\WINDOWS\System32\nss21C.dll
C:\WINDOWS\System32\nsx21B.dll
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp275F.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp295C.tmp
C:\DOCUME~1\SIMONM~1\LOCALS~1\Temp\tmp365E.tmp

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+-----------------| Added Scan :

---- Mozilla FireFox Version 3.0.7 ----

ProfilePath: f4udpk8w.default (Simon MSIKA)
.
Prefs.js: Browser.Search.DefaultEngineName: "Yoog Search"
Prefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Prefs.js: Browser.Search.DefaultUrl: "hxxp://www2.yoog.com/search.php?q="
.
(Prefs.js) REMOVED: user_pref("browser.search.defaultenginename", "Yoog Search");
(Prefs.js) REMOVED: user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q=");
(Prefs.js) REMOVED: user_pref("browser.search.selectedEngine", "Yoog Search");
(Prefs.js) REMOVED: user_pref("keyword.URL", "http://www2.yoog.com/search.php?q=");
.
Invalidprefs.js: Browser.Search.DefaultEngineName: "Google"
Invalidprefs.js: Browser.Search.SelectedEngine: "Yoog Search"
Invalidprefs.js: Browser.Search.DefaultUrl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
ADRIEN2040 Messages postés 8 Date d'inscription dimanche 15 mars 2009 Statut Membre Dernière intervention 5 janvier 2010
19 mars 2009 à 17:25
voila le rapport de navilog qui lui a finit normalement lui enfin je pense... XD
Clean Navipromo version 3.7.6 commencé le 19/03/2009 à 6:12:44,82

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix FirstBIOS(tm) Notebook Pro Version 2.0
USER : Simon MSIKA ( Administrator )
BOOT : Normal boot

Antivirus : AntiVirus Firewall 6.15 6.15 (Activated)
Firewall : AntiVirus Firewall 6.15 6.15 (Activated)

C:\ (Local Disk) - NTFS - Total:27 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:27 Go (Free:23 Go)
E:\ (CD or DVD)
G:\ (USB)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


vqfcva.exe trouvé !
Copie vqfcva.exe réalisée avec succès !
vqfcva.exe supprimé !

vqfcva.dat trouvé !
Copie vqfcva.dat réalisée avec succès !
vqfcva.dat supprimé !

vqfcva_nav.dat trouvé !
Copie vqfcva_nav.dat réalisée avec succès !
vqfcva_nav.dat supprimé !

vqfcva_navps.dat trouvé !
Copie vqfcva_navps.dat réalisée avec succès !
vqfcva_navps.dat supprimé !

C:\WINDOWS\prefetch\vqfcva*.pf trouvé !
Copie C:\WINDOWS\prefetch\vqfcva*.pf réalisée avec succès !
C:\WINDOWS\prefetch\vqfcva*.pf supprimé !


* Suppression dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *



* Suppression dans "C:\DOCUME~1\adrien\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***

...\HotTVPlayer ...suppression...
...\HotTVPlayer supprimé !


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\adrien\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\adrien\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Simon MSIKA\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\adrien\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADRIEN~1.VIA\menudm~1\progra~1" ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\system32\HotTVPlayer.dll supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Simon MSIKA\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *



* Dans "C:\Documents and Settings\Simon MSIKA\locals~1\applic~1" *



* Dans "C:\DOCUME~1\adrien\locals~1\applic~1" *



* Dans "C:\DOCUME~1\ADRIEN~1.VIA\locals~1\applic~1" *



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 19/03/2009 à 6:30:34,79 ***
0
Réponse 6 / 8
Utilisateur anonyme
19 mars 2009 à 17:53
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :
Malwarebytes ou :
Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dis, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 7 / 8
ADRIEN2040 Messages postés 8 Date d'inscription dimanche 15 mars 2009 Statut Membre Dernière intervention 5 janvier 2010
31 août 2009 à 16:46
Merci de l'aide que vous mavez apporte meme si ce remerciement est un peu tardif !!!
0
Réponse 8 / 8
Utilisateur anonyme
1 sept. 2009 à 05:58
;)
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32 bogent [susp]
hidalgo -
papajohn -

36 réponses