S'abonner :  Newsletters    Magazines
Avis sur les produits Avis sur les logiciels Avis sur les jeux Actualités A propos de 01net
175 utilisateurs connectés
Forum de 01net / Sécurité / recycled/boot.com

recycled/boot.com

tithom le 06 janvier 2009 à 10h30
bjr

Quand nous voulons ouvrir notre disque dur externe, un message recycled/boot.com n'a pas été trouvé!! A ce que je vois, nous avons été infecté mais le souci cet que notre défragmenteur de disqueC beugue total et des photo ou dossier sont mis un peux partout dans l'ordi (çà beugue), même internet à du mal à fonctionner quelque fois.
Que devons nous faire? Merci d'avance.
répondre
mido70 le 06 janvier 2009 à 12h33
bonjours,

Pour se suite, ne double cliquer (pour y accéder) sur aucun disque et/ou support Usb.
Faites plutôt un clic-droit --> Ouvrir.

resycled/boot.com is a worm that propagates on local fixed and removable USB drives. resycled/boot.com may infect drives via autorun.inf file it created that runs a command each time the drive is accessed. Malicious files will be copied to a drives attached on infected computer.
Réf. : ici.
_________________________________________________________________________

Utilisateur de SpybotSD.
Désactivez la protection résidente de SpybotSD (réactivez la protection après la désinfection)
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot

Utilisateur de Vista.
Désactiver l'UAC (réactivez l’UAC après la désinfection)
_________________________________________________________________________

Désinfection des supports USB avec USBFix.

► Désactivez votre antivirus,

Téléchargement de USBFix (de Chiquitine29) sur votre Bureau.

• Lancez l'installation par défaut.
• Branchez tous vos supports externes sans les ouvrir (mém. USB, disque dur externe, etc...).
• Double-cliquez sur le raccourci UsbFix sur votre Bureau.
• Sélectionner 1-Nettoyage
• Le PC va redémarrer.
Après redémarrage, postez le rapport (C:\UsbFix.txt).

>> Si le Bureau ne réapparaît pas, appuyez sur Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", entrez explorer.exe et validez)

► Réactivez votre antivirus,
/!\ "Process.exe" est une composante de l'outil détecté par certains antivirus tels que (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
_________________________________________________________________________

Désinfection avec Malwarebytes.
Malwarebytes : Téléchargement - & - Tutoriel .
• Dans [Paramètre] vous pouvez mettre en Français.
• Installer et
• mettez à jours Malwarebytes.
• Redémarrer en mode sans échec (au logo du Bios appuyer à répétition sur F8 ou F5).
• Entrez dans votre Compte utilisateur usuel,
• Lancer Malwarebytes et [Exécuter un examen Complet],
• Lorsque terminé appuyer sur >>>>>>>>>> [Supprimer la sélection] <<<<<<<<.
Afficher le rapport Malwarebytes sur votre prochain post.
_________________________________________________________________________

Nettoyage des fichiers temporaires, Cookies..
CCleaner version Slim (sans la Yahoo ToolBar) : Téléchargement - & - Tutoriel .
• Installer et lancer CCleaner.
• Appuyer sur [Analyse] et [Lancer le Nettoyage].

Utiliser CCleaner après chaque session sur le net,
installation de logiciels et/ou avant de fermer le PC.
_________________________________________________________________________

Produisez un rapport d'Analyse de votre PC.
HijackThis : Téléchargement - & - Tutoriel.
• Créer un répertoire C:\Program Files\HijackThis\.. et mettez y HijackThis.exe
• Créez/placer un raccourci de HijackThis.exe sur votre bureau (par un clic-droit sur l'.exe).
Vista - Lancer HijackThis par un clic-droit et
• "Exécuter ce programme en tant qu'administrateur"
• Lancer HijackThis,
• Appuyer sur [Do a system scan and save a logfile].
• Le bloc-note va s'ouvrir avec un rapport,
Afficher le rapport HijackThis sur votre prochain post.
-->Message édité par mido70 le 06/01/2009 13:00:22<--
répondre
tithom le 06 janvier 2009 à 14h09
rapport usb fix

-------------- UsbFix V2.413.9 ---------------

* User : gege - GERARD-OFWVWR1C
* Outils mis a jours le 05/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 14:04:29 le 06/01/2009
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

G: - Lecteur fixe

I: - Lecteur amovible


+- Contenu de l'autorun : G:\autorun.inf

[autorun]
;nlvatduqpjvssawfwo
shellexecute="resycled\boot.com g:"
;ygntogxj
shell\Open\command="resycled\boot.com g:"
;fqopymjdldloqslxhkpgynazxm
shell=Open
;xjgyzdbzxvfugtucbfvqacfmydqyubdfejszccqvhtgzfoenhu

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[02/11/2008 11:14][--a------] C:\AUTOEXEC.BAT
[01/11/2008 15:55][-rahs----] C:\NTDETECT.COM
[01/11/2008 16:01][-rahs----] C:\boot.ini
[06/01/2009 14:05][--a------] C:\UsbFix.txt
[01/11/2008 10:27][--a------] C:\CONFIG.SYS
[01/11/2008 10:27][--a------] C:\hiberfil.sys
[01/11/2008 10:27][--a------] C:\IO.SYS
[01/11/2008 10:27][--a------] C:\MSDOS.SYS
[01/11/2008 10:27][--a------] C:\pagefile.sys

--------------- [ Lecteur G ] ----------------

G: - Lecteur fixe


+- Listing des fichiers présents :

[29/12/2008 22:57][-r-hs----] G:\autorun.inf

--------------- [ Lecteur I ] ----------------

I: - Lecteur amovible


+- Listing des fichiers présents :

[28/11/2008 11:38][--ah-----] I:\Picasa.ini

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.google.com"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
EPSON Stylus Photo RX560 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBPE.EXE /FU "C:\WINDOWS\TEMP\E_S4E.tmp" /EF "HKCU"
Creative Live! Cam Manager="C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
Picasa Media Detector=C:\Program Files\Picasa2\PicasaMediaDetector.exe
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
swg=C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
RTHDCPL=RTHDCPL.EXE
SkyTel=SkyTel.EXE
Alcmtr=ALCMTR.EXE
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
V0420Mon.exe=C:\WINDOWS\V0420Mon.exe
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
EoEngine="C:\Program Files\EoRezo\EoEngine.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

G:\autorun.inf ~> fichier appelé : "G:\"resycled\boot.com g:"" ( absent ! )
Supprimé ! - [29/12/2008 22:57][-r-hs----] G:\autorun.inf
Supprimé ! - [04/01/2009 13:46][--ahs----] G:\THUMBS.DB
Supprimé ! - [28/12/2008 13:26][dr-hs----] G:\resycled
Supprimé ! - [28/12/2008 13:26][dr-hs----] I:\resycled

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre [http://www.virustotal.com/fr/ interprété] par un spécialiste /!\

[02/11/2008 11:14][--a------] C:\AUTOEXEC.BAT
[01/11/2008 15:55][-rahs----] C:\NTDETECT.COM
[01/11/2008 16:01][-rahs----] C:\boot.ini
[28/11/2008 11:38][--ah-----] I:\Picasa.ini

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
G:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
I:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------

répondre
mido70 le 06 janvier 2009 à 14h17
Par protection, USBFix a créés des répertoires :
--------------- [ Vaccination ] ----------------
C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
..
_____________________________________________________________

..Suivez avec les procédures/rapports du message initial et ensuite avec celle-ci..

Des traces d'EoRezo à éradiquer.

Désactiver l'antivirus.

Téléchargez Ad-remover (sur votre bureau) : http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe
• Installez Ad-remover ,
• Lancez Ad-remover à partir de l’icône sur votre bureau,
• Au menu principal choisissez l'option "A" pour un Scan,
Afficher le rapport qui apparait sur votre prochain post ( C:\Ad-report.log ).

Réactiver l'antivirus.
-->Message édité par mido70 le 06/01/2009 14:26:02<--
répondre
tithom le 06 janvier 2009 à 14h29
merci medo 70, mais impossible de télécharger Malwarebytes. A chaque fois, la page web n'est plus d'actualité..
répondre
tithom le 06 janvier 2009 à 14h34
rapport ad report scan
------- Logfile of AD-Remover 1.0.8.5 by C_XX | ONLY XP/VISTA -------

# START at: 14:32:58 | Mar 06/01/2009 | Microsoft® Windows XP™ SP3 (v5.1.2600)
# BOOT MODE: Normal
# OPTION: Scan | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
# PC: GERARD-OFWVWR1C | USER: gege ( Current user is an administrator)
# DRIVE(S):
- C:\ (File System: NTFS)
- G:\ (File System: FAT32)
- I:\ (File System: FAT)
# Internet Explorer v7.0.5730.13

# RUNNING PROCESSES: 31

+-----------------------| Boonty/Boonty Games Elements found :

.
.

+-----------------------| Eorezo Elements found :

Process: "EoEngine.exe" [PID:~2668]
.
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCU\SOFTWARE\EoRezo
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.DLL
HKLM\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\\EoEngine
.
C:\Program Files\EoRezo
C:\Program Files\EoRezo\ConfMedia.cyp
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\EoRezo\eoEngine.url
C:\Program Files\EoRezo\EoMultiLanguage.dll
C:\Program Files\EoRezo\EoRezoComm.dll
C:\Program Files\EoRezo\EoRezoImg_17.dll
C:\Program Files\EoRezo\EoRezoImg_19.dll
C:\Program Files\EoRezo\EoRezoImg_20.dll
C:\Program Files\EoRezo\EoRezoImg_21.dll
C:\Program Files\EoRezo\EoRezoImg_22.dll
C:\Program Files\EoRezo\EoRezoImg_23.dll
C:\Program Files\EoRezo\EoRezoTools_16.dll
C:\Program Files\EoRezo\EoRezoTools_17.dll
C:\Program Files\EoRezo\EoRezoTools_18.dll
C:\Program Files\EoRezo\EoRezoTools_20.dll
C:\Program Files\EoRezo\EoRezoTools_21.dll
C:\Program Files\EoRezo\EoRezoTools_26.dll
C:\Program Files\EoRezo\EoRezoTools_27.dll
C:\Program Files\EoRezo\EoRezoTools_28.dll
C:\Program Files\EoRezo\EoRezoTools_29.dll
C:\Program Files\EoRezo\FreeImage.dll
C:\Program Files\EoRezo\Host.cyp
C:\Program Files\EoRezo\lang
C:\Program Files\EoRezo\MngInstaller.dll
C:\Program Files\EoRezo\unins000.dat
C:\Program Files\EoRezo\unins000.exe
C:\Program Files\EoRezo\user.cyp
C:\Program Files\EoRezo\EoAdv\atl90.dll
C:\Program Files\EoRezo\EoAdv\EoAdv.dll
C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
C:\Program Files\EoRezo\EoAdv\mfc90.dll
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.ATL.manifest
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.CRT.manifest
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.MFC.manifest
C:\Program Files\EoRezo\EoAdv\msvcr90.dll
C:\Program Files\EoRezo\lang\ihm_eoclock.xml
C:\Program Files\EoRezo\lang\ihm_eoengine.xml
C:\Program Files\EoRezo\lang\ihm_eonet.xml
C:\Program Files\EoRezo\lang\ihm_eorezotools.xml
C:\Program Files\EoRezo\lang\ihm_eosudoku.xml
C:\Program Files\EoRezo\lang\ihm_eoweather.xml
C:\Program Files\EoRezo\lang\lang_en.xml
C:\Program Files\EoRezo\lang\lang_es.xml
C:\Program Files\EoRezo\lang\lang_fr.xml
C:\Program Files\EoRezo\lang\lang_it.xml
C:\Documents and Settings\gege\Application Data\EoRezo
C:\Documents and Settings\gege\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\db
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop
C:\Documents and Settings\gege\Application Data\EoRezo\eoStats
C:\Documents and Settings\gege\Application Data\EoRezo\host.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\user.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\userConfig.xml
C:\Documents and Settings\gege\Application Data\EoRezo\eoStats\eoStats.txt
C:\WINDOWS\Prefetch\EOENGINE.EXE-020B3EA2.pf
C:\Documents and Settings\gege\Cookies\gege@ads.eorezo[1].txt
C:\Documents and Settings\gege\Cookies\gege@eorezo[1].txt

+-----------------------| Everest Poker Elements found :

.
.

+-----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found :

.
.

+-----------------------| It's TV Elements found :

.

+-----------------------| Sweetim Elements found :

.
.

+-----------------------| ADDED SCAN :
+--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~4874 bytes] - "C:\AD-report-Scan-06.01.2009.log"

# END at: 14:33:18 | 06/01/2009 - Time elapsed: 20.2 seconds

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 108 lines ]
+---------------------------------------------------------------------------+

répondre
mido70 le 06 janvier 2009 à 14h37
hum.., signe d'infection un peu plus grande..

Faites un clic droit sur ce >> Lien de téléchargement.

--> Choisissez, soit avec :
Firefox --> Enregistrer la cible du lien sous...
Opera --> Enregistrer le contenu lié sous...
Internet Explorer --> Enregistrer la cible sous...

► Renommer Malwarebyte.exe pour thom.exe et sauvegarder le.

Et essayer de l'installer.

Si vous avez des problèmes >> affichez le dans votre prochain message.


-->Message édité par mido70 le 06/01/2009 14:39:10<--
répondre
tithom le 06 janvier 2009 à 14h48
rapport hijackLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:32, on 06/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\V0420Mon.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\gege\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [V0420Mon.exe] C:\WINDOWS\V0420Mon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo RX560 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBPE.EXE /FU "C:\WINDOWS\TEMP\E_S4E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/m(...)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C4AFC47-FF1E-49F2-BEFB-E1D5A106118C}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--
End of file - 6536 bytes
répondre
mido70 le 06 janvier 2009 à 14h50
Avant de pousuivre avec Ad-remover.

Essayer le téléchargement/installation.. de Malwarebytes de ce message ci.


Si vous aviez des problèmes avec Malwarebytes, alors..

Désactiver votre antivirus.

Télécharger sur le bureau Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Si le téchargement ne fonctionnait pas, comme pour Malwatrebytes.
Alors télécharger par un clic-droit et renommer ComboFix.exe en CB-F.exe

>> Déconnectez l'internet et durant toute l'étape suivante,
>> Fermez tous le applications, n'ouvrez aucun programmes.
>> Si ComboFix a besoin de redémarrer, laisser le aller.

► Double-cliquer sur Combofix
• Appuyer sur 1 si nécessaire
• Attendre la fermeture de l’outil ( 5-10 mn ou plus si infection importante)

>> Notez qu'une fois que vous avez lancé ComboFix,
>> vous ne devez pas cliquer dans la fenêtre de ComboFix
>> car cela pourrait entraîner un plantage du programme.

Afficher le rapport de ComboFix (C:\Combofix.txt).

Réactiver l'antivirus.


__________________________________________________________

► Désactiver votre antivirus.

• Relancez "Ad-remover",
• Choisissez l'option "B" .
• Sélectionnez >> Suppression Eorezo [ ]
• Entrez "S" (Supprimer les éléments cochés)
Affichez le rapport généré (C:\Ad-report-date.log ).

/!\ Si le Bureau ne réapparait pas pressez <Ctrl> <Alt> <Suppr>,
/!\ Onglet "Fichier" --> "Nouvelle tâche" ,
/!\ Entrez explorer.exe et validez

Relancer Ad-Remover et choisissez U pour le désinstaller.

► Réactiver l'antivirus.

-->Message édité par mido70 le 06/01/2009 14:51:57<--
répondre
mido70 le 06 janvier 2009 à 15h02
Relancer HijackThis,
• Appuyer sur [Do a system scan only],
• Cocher < inclued picture > toutes les lignes suivantes et
>>> Fermer les navigateurs, logiciels.. <<<
• Appuyer sur [Fix Checked] pour les supprimer.

< inclued picture > O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
< inclued picture > O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
< inclued picture > O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
< inclued picture > O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
< inclued picture > O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
< inclued picture > O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
< inclued picture > O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
< inclued picture > O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
< inclued picture > O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
< inclued picture > O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
< inclued picture > O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
< inclued picture > O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
< inclued picture > O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
< inclued picture > O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
< inclued picture > O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

>>>>>>> • Redémarrer votre PC • <<<<<<<<<<

Afficher le rapport HijackThis sur votre prochain post.


Si toujours problèmes avec Malwarebytes et peut-être aussi ComboFix, alors suivez avec la désinfection d'EoRezo par Ad-Remover



-->Message édité par mido70 le 06/01/2009 15:04:00<--
répondre
tithom le 06 janvier 2009 à 15h23
malwarebytes est en train de fonctionner cet cool merci medo 70, ensuite je poste rapport et après je peux faire ton dernier message avec hijackthis???
répondre
tithom le 06 janvier 2009 à 15h49
rapport malwarebytesMalwarebytes' Anti-Malware 1.32
Version de la base de données: 1616
Windows 5.1.2600 Service Pack 3

06/01/2009 15:48:25
mbam-log-2009-01-06 (15-48-25).txt

Type de recherche: Examen complet (C:\|G:\|)
Eléments examinés: 122088
Temps écoulé: 41 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\msqpdxyppethkl.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\msqpdxkspiemrd.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxnswvbrqh.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\msqpdxyudjoewc.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.
répondre
mido70 le 06 janvier 2009 à 16h00
Continuez avec la désinfection & rapport d'Ad-Remover.
Ainsi qu'un autre rapport HijackThis (après avoir cochés/supprimés les lignes).
___________________________________________________________________

Ensuite un p'tit Scan en ligne chez Kaspersky : http://www.kaspersky.com/virusscanner

Firefox : NoScript autoriser pour Kaspersky
Internet Explorer : Accepter le plugin

• Désactiver votre antivirus résident (vous le réactivrez aprés le scan),
• Cliquer sur < inclued picture >,
• Après la màj des définitions,
• Sélectionner [My Computer] à gauche,

Après le scan Sauvegarder le rapport et afficher le sur votre prochain post.
-->Message édité par mido70 le 06/01/2009 16:02:49<--
répondre
tithom le 06 janvier 2009 à 16h01
rappo
------- Logfile of AD-Remover 1.0.8.5 by C_XX | ONLY XP/VISTA -------

# START at: 15:59:35 | Mar 06/01/2009 | Microsoft® Windows XP™ SP3 (v5.1.2600)
# BOOT MODE: Normal
# OPTION: Scan | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
# PC: GERARD-OFWVWR1C | USER: gege ( Current user is an administrator)
# DRIVE(S):
- C:\ (File System: NTFS)
# Internet Explorer v7.0.5730.13

# RUNNING PROCESSES: 33

+-----------------------| Boonty/Boonty Games Elements found :

.
.

+-----------------------| Eorezo Elements found :

Process: "EoEngine.exe" [PID:~1132]
.
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCU\SOFTWARE\EoRezo
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.DLL
HKLM\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run\\EoEngine
.
C:\Program Files\EoRezo
C:\Program Files\EoRezo\ConfMedia.cyp
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\EoRezo\eoEngine.url
C:\Program Files\EoRezo\EoMultiLanguage.dll
C:\Program Files\EoRezo\EoRezoComm.dll
C:\Program Files\EoRezo\EoRezoImg_17.dll
C:\Program Files\EoRezo\EoRezoImg_19.dll
C:\Program Files\EoRezo\EoRezoImg_20.dll
C:\Program Files\EoRezo\EoRezoImg_21.dll
C:\Program Files\EoRezo\EoRezoImg_22.dll
C:\Program Files\EoRezo\EoRezoImg_23.dll
C:\Program Files\EoRezo\EoRezoTools_16.dll
C:\Program Files\EoRezo\EoRezoTools_17.dll
C:\Program Files\EoRezo\EoRezoTools_18.dll
C:\Program Files\EoRezo\EoRezoTools_20.dll
C:\Program Files\EoRezo\EoRezoTools_21.dll
C:\Program Files\EoRezo\EoRezoTools_26.dll
C:\Program Files\EoRezo\EoRezoTools_27.dll
C:\Program Files\EoRezo\EoRezoTools_28.dll
C:\Program Files\EoRezo\EoRezoTools_29.dll
C:\Program Files\EoRezo\FreeImage.dll
C:\Program Files\EoRezo\Host.cyp
C:\Program Files\EoRezo\lang
C:\Program Files\EoRezo\MngInstaller.dll
C:\Program Files\EoRezo\unins000.dat
C:\Program Files\EoRezo\unins000.exe
C:\Program Files\EoRezo\user.cyp
C:\Program Files\EoRezo\EoAdv\atl90.dll
C:\Program Files\EoRezo\EoAdv\EoAdv.dll
C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
C:\Program Files\EoRezo\EoAdv\mfc90.dll
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.ATL.manifest
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.CRT.manifest
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.MFC.manifest
C:\Program Files\EoRezo\EoAdv\msvcr90.dll
C:\Program Files\EoRezo\lang\ihm_eoclock.xml
C:\Program Files\EoRezo\lang\ihm_eoengine.xml
C:\Program Files\EoRezo\lang\ihm_eonet.xml
C:\Program Files\EoRezo\lang\ihm_eorezotools.xml
C:\Program Files\EoRezo\lang\ihm_eosudoku.xml
C:\Program Files\EoRezo\lang\ihm_eoweather.xml
C:\Program Files\EoRezo\lang\lang_en.xml
C:\Program Files\EoRezo\lang\lang_es.xml
C:\Program Files\EoRezo\lang\lang_fr.xml
C:\Program Files\EoRezo\lang\lang_it.xml
C:\Documents and Settings\gege\Application Data\EoRezo
C:\Documents and Settings\gege\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\db
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop
C:\Documents and Settings\gege\Application Data\EoRezo\eoStats
C:\Documents and Settings\gege\Application Data\EoRezo\host.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\user.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\userConfig.xml
C:\WINDOWS\Prefetch\EOENGINE.EXE-020B3EA2.pf
C:\Documents and Settings\gege\Cookies\gege@eorezo[1].txt
C:\Documents and Settings\gege\Cookies\gege@soft.eorezo[1].txt

+-----------------------| Everest Poker Elements found :

.
.

+-----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found :

.
.

+-----------------------| It's TV Elements found :

.

+-----------------------| Sweetim Elements found :

.
.

+-----------------------| ADDED SCAN :
+--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~4743 bytes] - "C:\AD-report-Scan-06.01.2009.log"

# END at: 15:59:57 | 06/01/2009 - Time elapsed: 21.8 seconds

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 105 lines ]
+---------------------------------------------------------------------------+

rt A scan
répondre
tithom le 06 janvier 2009 à 16h11
rapport hijackthisLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:20, on 06/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\V0420Mon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\gege\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [V0420Mon.exe] C:\WINDOWS\V0420Mon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo RX560 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBPE.EXE /FU "C:\WINDOWS\TEMP\E_S4E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/m(...)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C4AFC47-FF1E-49F2-BEFB-E1D5A106118C}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--
End of file - 5036 bytes
répondre
mido70 le 06 janvier 2009 à 16h14
Avez vous refait une simple recherche (scan) avec ad-remover.
Devrait y avoir des traces de DELETE quelques part dans le rapport de désinfection !?

Allez à la 2ième procédure de ce message pour la désinfection de EoRezo avec ad-remover.
répondre
mido70 le 06 janvier 2009 à 17h06
supprimez cette ligne avec hijackthis.
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

répondre
tithom le 06 janvier 2009 à 17h44

------- Logfile of AD-Remover 1.0.8.5 by C_XX | ONLY XP/VISTA -------

# START at: 17:43:20 | Mar 06/01/2009 | Microsoft® Windows XP™ SP3 (v5.1.2600)
# BOOT MODE: Normal
# OPTION: Scan | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
# PC: GERARD-OFWVWR1C | USER: gege ( Current user is an administrator)
# DRIVE(S):
- C:\ (File System: NTFS)
- G:\ (File System: FAT32)
- I:\ (File System: FAT)
# Internet Explorer v7.0.5730.13

# RUNNING PROCESSES: 28

+-----------------------| Boonty/Boonty Games Elements found :

.
.

+-----------------------| Eorezo Elements found :

.
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCU\SOFTWARE\EoRezo
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.DLL
HKLM\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
.
C:\Program Files\EoRezo
C:\Program Files\EoRezo\ConfMedia.cyp
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\EoRezo\eoEngine.url
C:\Program Files\EoRezo\EoMultiLanguage.dll
C:\Program Files\EoRezo\EoRezoComm.dll
C:\Program Files\EoRezo\EoRezoImg_17.dll
C:\Program Files\EoRezo\EoRezoImg_19.dll
C:\Program Files\EoRezo\EoRezoImg_20.dll
C:\Program Files\EoRezo\EoRezoImg_21.dll
C:\Program Files\EoRezo\EoRezoImg_22.dll
C:\Program Files\EoRezo\EoRezoImg_23.dll
C:\Program Files\EoRezo\EoRezoTools_16.dll
C:\Program Files\EoRezo\EoRezoTools_17.dll
C:\Program Files\EoRezo\EoRezoTools_18.dll
C:\Program Files\EoRezo\EoRezoTools_20.dll
C:\Program Files\EoRezo\EoRezoTools_21.dll
C:\Program Files\EoRezo\EoRezoTools_26.dll
C:\Program Files\EoRezo\EoRezoTools_27.dll
C:\Program Files\EoRezo\EoRezoTools_28.dll
C:\Program Files\EoRezo\EoRezoTools_29.dll
C:\Program Files\EoRezo\FreeImage.dll
C:\Program Files\EoRezo\Host.cyp
C:\Program Files\EoRezo\lang
C:\Program Files\EoRezo\MngInstaller.dll
C:\Program Files\EoRezo\unins000.dat
C:\Program Files\EoRezo\unins000.exe
C:\Program Files\EoRezo\user.cyp
C:\Program Files\EoRezo\EoAdv\atl90.dll
C:\Program Files\EoRezo\EoAdv\EoAdv.dll
C:\Program Files\EoRezo\EoAdv\mfc90.dll
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.ATL.manifest
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.CRT.manifest
C:\Program Files\EoRezo\EoAdv\Microsoft.VC90.MFC.manifest
C:\Program Files\EoRezo\EoAdv\msvcr90.dll
C:\Program Files\EoRezo\lang\ihm_eoclock.xml
C:\Program Files\EoRezo\lang\ihm_eoengine.xml
C:\Program Files\EoRezo\lang\ihm_eonet.xml
C:\Program Files\EoRezo\lang\ihm_eorezotools.xml
C:\Program Files\EoRezo\lang\ihm_eosudoku.xml
C:\Program Files\EoRezo\lang\ihm_eoweather.xml
C:\Program Files\EoRezo\lang\lang_en.xml
C:\Program Files\EoRezo\lang\lang_es.xml
C:\Program Files\EoRezo\lang\lang_fr.xml
C:\Program Files\EoRezo\lang\lang_it.xml
C:\Documents and Settings\gege\Application Data\EoRezo
C:\Documents and Settings\gege\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\db
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop
C:\Documents and Settings\gege\Application Data\EoRezo\eoStats
C:\Documents and Settings\gege\Application Data\EoRezo\host.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\user.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\gege\Application Data\EoRezo\eoDesktop\userConfig.xml
C:\WINDOWS\Prefetch\EOENGINE.EXE-020B3EA2.pf
C:\Documents and Settings\gege\Cookies\gege@eorezo[1].txt
C:\Documents and Settings\gege\Cookies\gege@soft.eorezo[1].txt

+-----------------------| Everest Poker Elements found :

.
.

+-----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found :

.
.

+-----------------------| It's TV Elements found :

.

+-----------------------| Sweetim Elements found :

.
.

+-----------------------| ADDED SCAN :
+--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~4536 bytes] - "C:\AD-report-Scan-06.01.2009.log"

# END at: 17:43:43 | 06/01/2009 - Time elapsed: 23.4 seconds

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 103 lines ]
+---------------------------------------------------------------------------+

répondre
mido70 le 06 janvier 2009 à 18h17
► Lorsque vous lancez Ad-Remover faites vous l'option 1) ou l'option 2) :
1) Au menu principal choisissez l'option "A" pour un Scan,

OU

2) Choisissez l'option "B" et
• Sélectionnez >> Suppression Eorezo [ ]
► Pour supprimer toutes lignes d'EoRezo vous devez suivre l'option 2)

répondre
tithom le 06 janvier 2009 à 18h19
ComboFix 09-01-05.05 - gege 2009-01-06 17:53:35.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.447.198 [GMT 1:00]
Lancé depuis: c:\documents and settings\gege\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\mpg4c32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.

2009-01-06 17:50 . 2009-01-06 17:51 <REP> d-------- C:\32788R22FWJFW
2009-01-06 16:23 . 2009-01-06 16:23 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-01-06 16:23 . 2009-01-06 16:23 <REP> d-------- c:\windows\LastGood
2009-01-06 15:05 . 2009-01-06 15:05 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-06 15:05 . 2009-01-06 15:05 <REP> d-------- c:\documents and settings\gege\Application Data\Malwarebytes
2009-01-06 15:05 . 2009-01-06 15:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-06 15:05 . 2009-01-04 18:39 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-06 15:05 . 2009-01-04 18:39 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-06 14:39 . 2009-01-06 14:39 <REP> d-------- c:\program files\CCleaner
2009-01-06 14:31 . 2009-01-06 17:43 <REP> d-------- c:\program files\Ad-remover
2009-01-06 13:58 . 2009-01-06 14:06 <REP> d-------- c:\program files\UsbFix
2009-01-04 13:54 . 2009-01-04 13:55 <REP> d-------- C:\rsit
2009-01-04 13:54 . 2009-01-05 18:29 <REP> d-------- c:\program files\trend micro
2008-12-30 10:56 . 2008-12-30 10:56 <REP> d-------- c:\program files\Auslogics
2008-12-30 10:56 . 2008-12-30 10:56 <REP> d-------- c:\documents and settings\gege\Application Data\Auslogics
2008-12-28 18:02 . 2008-12-29 17:56 <REP> d-------- c:\program files\Dofus
2008-12-26 19:56 . 2008-12-26 19:56 <REP> d-------- c:\program files\AVIConverter
2008-12-26 19:03 . 2007-09-27 15:22 261,632 --a------ c:\windows\system32\mcdvd_32.dll
2008-12-26 19:03 . 2003-05-22 13:26 221,215 --a------ c:\windows\system32\divxdec.ax
2008-12-26 19:03 . 2003-05-22 00:50 156,910 --a------ c:\windows\WMSysPr8.prx
2008-12-26 19:03 . 2003-05-22 00:50 82,944 --a------ c:\windows\system32\vct3216.acm
2008-12-26 19:03 . 2004-09-06 17:06 53,248 --a------ c:\windows\system32\xvid.ax
2008-12-26 19:03 . 2003-05-22 00:50 38,912 --a------ c:\windows\system32\alf2cd.acm
2008-12-26 19:03 . 2000-03-14 21:55 13,239 --a------ c:\windows\system32\Scg726.acm
2008-12-26 16:37 . 2008-12-26 16:37 <REP> d-------- c:\documents and settings\gege\Application Data\AVS4YOU
2008-12-26 16:37 . 2008-12-26 16:37 <REP> d-------- c:\documents and settings\All Users\Application Data\AVS4YOU
2008-12-26 16:36 . 2008-12-26 19:04 <REP> d-------- c:\program files\Fichiers communs\AVSMedia
2008-12-26 16:36 . 2008-12-26 19:18 <REP> d-------- c:\program files\AVS4YOU
2008-12-26 16:36 . 2007-02-27 18:36 1,700,352 --a------ c:\windows\system32\GdiPlus.dll
2008-12-26 16:36 . 2007-02-27 18:36 974,848 --a------ c:\windows\system32\mfc70.dll
2008-12-26 16:36 . 2007-02-27 18:36 487,424 --a------ c:\windows\system32\msvcp70.dll
2008-12-26 16:36 . 2007-02-27 18:36 344,064 --a------ c:\windows\system32\msvcr70.dll
2008-12-20 18:45 . 2008-12-20 18:53 <REP> d-------- c:\program files\Pochette Express 2
2008-12-11 15:23 . 2008-10-03 11:03 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2008-12-08 19:05 . 2008-12-08 19:05 <REP> d-------- c:\program files\Audacity
2008-12-08 19:04 . 2008-12-08 19:04 <REP> d-------- c:\program files\EoRezo
2008-12-08 19:04 . 2009-01-06 15:57 <REP> d-------- c:\documents and settings\gege\Application Data\EoRezo
2008-12-06 10:54 . 2008-12-06 10:54 <REP> d-------- c:\program files\Fichiers communs\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 18:55 --------- d-----w c:\program files\eMule
2008-12-26 15:17 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-26 15:14 --------- d-----w c:\program files\Google
2008-12-21 10:50 --------- d-----w c:\program files\EPSON Print CD
2008-12-02 16:36 --------- d-----w c:\documents and settings\gege\Application Data\Ahead
2008-11-25 17:10 --------- d-----w c:\documents and settings\gege\Application Data\Creative
2008-11-20 08:08 --------- d-----w c:\program files\Picasa2
2008-11-17 19:28 --------- d-----w c:\documents and settings\All Users\Application Data\Creative
2008-11-17 18:39 --------- d-----w c:\documents and settings\gege\Application Data\EPSON
2008-11-17 18:36 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-17 18:24 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-17 18:22 --------- d-----w c:\program files\epson
2008-11-17 18:22 --------- d-----w c:\documents and settings\All Users\Application Data\UDL
2008-11-11 19:03 44,984 -c--a-w c:\documents and settings\gege\Application Data\GDIPFONTCACHEV1.DAT
2008-11-01 09:27 558,142 -c--a-w c:\windows\java\Packages\7L7PFVVP.ZIP
2008-11-01 09:27 155,995 -c--a-w c:\windows\java\Packages\EV9JVVVN.ZIP
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus Photo RX560 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIBPE.EXE" [2006-05-23 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"V0420Mon.exe"="c:\windows\V0420Mon.exe" [2007-04-30 32768]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\SightSpeed\\SightSpeed.exe"=
"c:\\Program Files\\Ahead\\Nero ShowTime\\ShowTime.exe"=
"c:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2008-11-01 21656]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-01 111184]
R3 V0420VID;Live! Cam Vista IM (VF0420);c:\windows\system32\drivers\V0420Vid.sys [2008-11-02 99648]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-12-27 20560]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-10-28 195752]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://google.fr/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {9C4AFC47-FF1E-49F2-BEFB-E1D5A106118C} = 192.168.1.1

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://ma-config.com/activex/hardwaredetection_3_0_3_4.cab
c:\windows\Downloaded Program Files\hardwaredetection.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 17:54:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-01-06 17:55:57
ComboFix-quarantined-files.txt 2009-01-06 16:55:43

Avant-CF: 105 596 018 688 octets libres
Après-CF: 105,596,334,080 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

147 --- E O F --- 2008-12-18 10:26:05
répondre
tithom le 06 janvier 2009 à 18h23
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE cela n'existe pas dans le dossier!!
répondre
mido70 le 06 janvier 2009 à 18h39
Télécharger par un clic-droit FixEoRezo.bat à >> ce lien << (en haut au centre de la page).
• Choisissez, soit avec :
Firefox --> Enregistrer la cible du lien sous...
Opera --> Enregistrer le contenu lié sous...
Internet Explorer --> Enregistrer la cible sous...

► Et ne faites que sauvegarder le fichier sur votre bureau.

► Double-cliquer sur FixEoRezo.bat


Ensuite allez vérifier sur le disque si les répertoires suivants ont été supprimés :
C:\Program Files\EoRezo
C:\Documents and Settings\gege\Application Data\EoRezo
_____________________________________________________________________________

► Ré-affichez un autre rapport HijackThis.
répondre
tithom le 06 janvier 2009 à 18h51
rapport ad remover, j'ai e
------- Logfile of AD-Remover 1.0.8.5 by C_XX | ONLY XP/VISTA -------

*** Limited to ***

Eorezo

******************

# START at: 18:49:10 | Mar 06/01/2009 | Microsoft® Windows XP™ SP3 (v5.1.2600)
# BOOT MODE: Normal
# OPTION: Clean | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
# PC: GERARD-OFWVWR1C | USER: gege ( Current user is an administrator)
# DRIVE(S):
- C:\ (File System: NTFS)
- G:\ (File System: FAT32)
- I:\ (File System: FAT)
# Internet Explorer v7.0.5730.13

# RUNNING PROCESSES: 27

(!) ---- IE start pages reset

+-----------------------| Eorezo Elements Deleted :

.
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCU\SOFTWARE\EoRezo
HKLM\SOFTWARE\EoRezo
HKLM\SOFTWARE\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\SOFTWARE\Classes\AppID\EoRezoBHO.DLL
HKLM\SOFTWARE\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
.
C:\Program Files\EoRezo
C:\Documents and Settings\gege\Application Data\EoRezo
C:\Documents and Settings\gege\Cookies\gege@eorezo[1].txt
C:\Documents and Settings\gege\Cookies\gege@soft.eorezo[1].txt

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+-----------------------| ADDED SCAN :

+---------------------------------------------------------------------------+

+--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/

+---------------------------------------------------------------------------+

[~1688 bytes] - "C:\AD-report-Clean-06.01.2009.log"
[~4871 bytes] - "C:\AD-report-Scan-06.01.2009.log"

# END at: 18:49:43 | 06/01/2009 - Time elapsed: 33.6 seconds

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 39 lines ]
+---------------------------------------------------------------------------+

nfin pu enlever eorezo merci
répondre
tithom le 06 janvier 2009 à 19h00
ci joint rapport hijacktis,. Je suis allé sur kapersky, je n'ai pas pu vous envoyé le rapport mais pas d'infection à ce que j'ai vu

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:08, on 06/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\V0420Mon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\gege\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [V0420Mon.exe] C:\WINDOWS\V0420Mon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo RX560 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBPE.EXE /FU "C:\WINDOWS\TEMP\E_S4E.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/m(...)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C4AFC47-FF1E-49F2-BEFB-E1D5A106118C}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--
End of file - 5092 bytes
e j'ai vu
répondre
tithom le 07 janvier 2009 à 09h29
vilà, il me semble que tout est redevenu normal, dois-je conserver, dossier ad-remover, hijackthis,malwatrebytes...? Et j'ai un dossier intitulé back-ups qui s'est afficher sur mon breau dois je le garder? et pour terminer, un dossier autorun.inf s'est mis dans mes documents (mais il est vide), puis-je supprimer? Mrci bcp Mido70 sans toi on y serais jamais arriver
répondre


PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

LOISIRS

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

Forum de 01net / Sécurité / recycled/boot.com
publicité
> 01netPro :
Rubrique Formation
Actualités et dernières offres mises en ligne.

01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter  |  Charte de confiance  |  Voir notice légale

01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  La Tribune  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.