MagicControl.Agent + HijackThis log

MagicControl.Agent + HijackThis log - Sécurité - Windows & Software

Marsh Posté le 05-08-2006 à 19:27:28    

Bonjour,
 
Je n'arrive pas à me débarasser de MagicControl.Agent (selon SpyBot).
J'ai suivi les instructions que j'ai trouvée sur ce forum et me permet de vous soumettre le log de HijackThis dans l'espoir que quelqu'un puisse me dire ce que je dois virer.
 
Merci d'avance.
Christian
 
Voici le log:
 
Logfile of HijackThis v1.99.1
Scan saved at 13:03:54, on 04/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HT\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ntrgfilb] c:\windows\system32\ntrgfilb.exe ntrgfilb
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/e [...] 4_1063.cab
O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} - http://scripts.dlv4.com/binaries/e [...] 4_1062.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 4588163921
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_EN_XP.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/I [...] _EN_XP.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
 

Reply

Marsh Posté le 05-08-2006 à 19:27:28   

Reply

Marsh Posté le 05-08-2006 à 19:29:28    

bonjour
 
1/ Fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus.
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire
un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.
 
2/ Télécharge F-Secure Blacklight (800ko) https://europe.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
 
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log

Reply

Marsh Posté le 05-08-2006 à 20:57:00    

Ok, merci ! Je poste aussi fsbl-....log ?
Voici déjà IA.txt:
*** Répertoires ***
 
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 
 R‚pertoire de C:\Program Files\Fichiers communs
 
03/08/2006  22:34    <REP>          .
03/08/2006  22:34    <REP>          ..
15/07/2002  01:02    <REP>          ADAPTEC
07/01/2003  13:16    <REP>          Adobe
17/02/2002  19:15    <REP>          Designer
06/08/2002  16:14    <REP>          Epsitec
06/08/2002  15:32    <REP>          FotoWire
16/11/2003  11:58    <REP>          InstallShield
06/04/1999  14:27            99'840 IRAABOUT.DLL
09/12/1998  04:53            48'640 IRALPTTR.DLL
09/12/1998  04:53            70'144 IRAMDMTR.DLL
09/12/1998  04:53           186'368 IRAREG.DLL
09/12/1998  04:53            17'920 IRASRIAL.DLL
09/12/1998  04:53            31'744 IRAWEBTR.DLL
12/02/2001  21:24    <REP>          Logitech
01/08/2006  16:27    <REP>          Microsoft Shared
08/12/2005  10:32    <REP>          Motive
06/08/2002  00:02    <REP>          MSSoap
09/01/2001  15:56    <REP>          ODBC
15/07/2002  02:02    <REP>          Real
01/08/2006  16:27    <REP>          SERVICES
06/08/2002  00:25    <REP>          SpeechEngines
20/04/2006  11:20    <REP>          Symantec Shared
03/08/2006  13:56    <REP>          SYSTEM
               6 fichier(s)          454'656 octets
              18 R‚p(s)  28'505'028'096 octets libres
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 
 R‚pertoire de C:\Program Files
 
04/08/2006  09:01    <REP>          .
04/08/2006  09:01    <REP>          ..
09/01/2001  15:56    <REP>          Accessoires
15/07/2002  01:02    <REP>          Adaptec
07/01/2003  13:08    <REP>          Adobe
20/04/2006  10:07    <REP>          Alwil Software
15/12/2005  09:13    <REP>          Bluewin
13/02/2001  01:43    <REP>          Codemasters
21/05/2006  06:45    <REP>          Common Files
06/08/2002  00:01    <REP>          ComPlus Applications
28/01/2001  12:22    <REP>          CompuServe
24/03/2003  12:56    <REP>          Cresus
26/01/2001  03:14    <REP>          directx
26/01/2001  04:42    <REP>          ELSACfgMgr
03/08/2006  22:34    <REP>          Fichiers communs
03/08/2006  08:56    <REP>          Grisoft
24/10/2002  21:17    <REP>          Hewlett-Packard
26/05/2003  10:49    <REP>          HistoryKill
12/02/2001  22:00    <REP>          IEL
03/08/2006  13:58    <REP>          Internet Explorer
11/02/2001  23:55    <REP>          InterVideo
16/02/2001  22:26    <REP>          Iomega
09/07/2006  19:29    <REP>          Lavasoft
12/02/2001  21:24    <REP>          Logitech
03/08/2006  13:56    <REP>          Messenger
06/08/2002  08:55    <REP>          Microsoft FrontPage
09/01/2001  15:52    <REP>          Microsoft Money
06/08/2002  09:16    <REP>          Microsoft Office
09/01/2001  15:49    <REP>          Microsoft Picture It!
17/02/2002  19:15    <REP>          Microsoft Visual Studio
01/08/2006  15:06    <REP>          Movie Maker
11/06/2003  10:35    <REP>          MSN
09/01/2001  15:54    <REP>          MSN Gaming Zone
01/08/2006  14:59    <REP>          NetMeeting
08/12/2005  11:37    <REP>          Netopia
20/04/2006  10:06    <REP>          Norton SystemWorks
03/08/2006  20:51    <REP>          OfficeUpdate11
03/08/2006  13:56    <REP>          Outlook Express
09/01/2001  15:56    <REP>          Plus!
16/02/2001  23:53    <REP>          PowerQuest
09/01/2001  15:51    <REP>          Publication Web
08/04/2006  14:05    <REP>          QuickTime
15/07/2002  02:02    <REP>          Real
06/08/2002  00:04    <REP>          Services en ligne
06/08/2002  09:15    <REP>          Snapshot Viewer
03/08/2006  12:40    <REP>          Spybot - Search & Destroy
20/04/2006  10:04    <REP>          Symantec
21/06/2004  15:11    <REP>          TelCD
16/11/2003  11:58    <REP>          TWIXTEL
20/08/2002  14:26    <REP>          UBS e-banking
20/05/2006  17:47    <REP>          ultrabaise
17/02/2001  10:26    <REP>          Wacom
03/08/2006  23:05    <REP>          Windows Defender
03/08/2006  17:32    <REP>          Windows Media Connect 2
03/08/2006  17:27    <REP>          Windows Media Player
01/08/2006  14:58    <REP>          Windows NT
21/11/2001  00:53    <REP>          WS_FTP
06/08/2002  00:09    <REP>          xerox
04/08/2006  09:06    <REP>          XoftSpySE
21/03/2004  20:00    <REP>          yellownet13
06/08/2003  10:21    <REP>          yellownetjavaedition
               0 fichier(s)                0 octets
              61 R‚p(s)  28'505'023'488 octets libres
 
*** Fichiers ***
 
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 
 R‚pertoire de C:\WINDOWS\system32
 
08/04/2006  14:21            69'632 egaccess4_1061.dll
18/05/2006  19:26            69'120 egaccess4_1062.dll
08/06/2006  11:25            70'144 egaccess4_1063.dll
               3 fichier(s)          208'896 octets
 
     Total des fichiers list‚sÿ:
               3 fichier(s)          208'896 octets
               0 R‚p(s)  28'505'011'200 octets libres
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 Le volume dans le lecteur C s'appelle SYSTÔME
 Le num‚ro de s‚rie du volume est AC44-5150
 
*** Registre ***
 
 
 
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
 
    C:\WINDOWS\System32\egaccess4_1062.dll REG_DWORD 0x1
    C:\WINDOWS\System32\egaccess4_1063.dll REG_DWORD 0x1
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1062.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1063.dll
 
Magic Control
 
HKEY_USERS\S-1-5-21-515967899-842925246-1708537768-1007\Software\LanConfig
 
*** Terminé ***
 

Reply

Marsh Posté le 05-08-2006 à 21:02:11    

ce modeste fichier de recherche, IA.bat, trouve rarement des fichiers. En fait, je pense qu'à ce stade, s'il en trouve c'est qu'il y a un souci avec l'antivirus (mise à jour ou autre)
 
Oui, poste le fichier fsbl c'est le rapport blacklight
 
dis, au fait, le dossier "ultrabaise" dans program files", ça te dit qquechose ?

Reply

Marsh Posté le 05-08-2006 à 21:47:27    

Ouais, en effet, c'était un virus. Il est loin. Blacklight tourne...

Reply

Marsh Posté le 05-08-2006 à 22:34:14    

Blacklight report:
 
08/05/06 21:37:49 [Info]: BlackLight Engine 1.0.42 initialized
08/05/06 21:37:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/05/06 21:37:54 [Note]: 7019 4
08/05/06 21:37:54 [Note]: 7005 0
08/05/06 21:38:04 [Note]: 7006 0
08/05/06 21:38:04 [Note]: 7011 1972
08/05/06 21:38:05 [Note]: 7026 0
08/05/06 21:38:05 [Note]: 7026 0
08/05/06 21:38:05 [Note]: 7024 3
08/05/06 21:38:05 [Info]: Hidden process: C:\windows\system32\ntrgfilb.exe
08/05/06 21:38:05 [Note]: FSRAW library version 1.7.1019
08/05/06 21:38:07 [Error]: 4000 5
08/05/06 21:38:07 [Note]: 4005 5
08/05/06 21:38:27 [Note]: 4014 29358
08/05/06 21:38:27 [Note]: 4020 29357 1923940352
08/05/06 21:38:27 [Note]: 4018 29357 1923940352
08/05/06 21:49:24 [Note]: 4014 90157
08/05/06 21:49:24 [Note]: 4020 90157 131072
08/05/06 21:49:24 [Note]: 4018 90157 131072
08/05/06 21:49:32 [Error]: 4000 5
08/05/06 21:49:32 [Note]: 4005 5
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\ADI
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\DXF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\DXF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\Fla
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\Für
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\GIF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\JPE
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\Pho
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\SVG
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\TIF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Note]: 10002 2
08/05/06 22:00:29 [Info]: Hidden file: c:\WINDOWS\system32\ntrgfilb.dat
08/05/06 22:00:29 [Note]: 10002 1
08/05/06 22:00:30 [Info]: Hidden file: C:\windows\system32\ntrgfilb.exe
08/05/06 22:00:30 [Note]: 10002 1
08/05/06 22:00:30 [Info]: Hidden file: c:\WINDOWS\system32\ntrgfilb_nav.dat
08/05/06 22:00:30 [Note]: 10002 1
08/05/06 22:00:31 [Info]: Hidden file: c:\WINDOWS\system32\ntrgfilb_navps.dat
08/05/06 22:00:31 [Note]: 10002 1
08/05/06 22:05:06 [Info]: Hidden file: c:\WINDOWS\Prefetch\NTRGFILB.EXE-26BF41AD.pf
08/05/06 22:05:07 [Note]: 10002 1
08/05/06 22:06:02 [Note]: 4017 35432
08/05/06 22:06:02 [Note]: 4027 35432 -1972699136
08/05/06 22:06:02 [Note]: 4020 66691 917504
08/05/06 22:06:02 [Note]: 4018 66691 917504
08/05/06 22:06:04 [Note]: 4014 69830
08/05/06 22:06:04 [Note]: 4020 69828 1048576
08/05/06 22:06:04 [Note]: 4022 69828
08/05/06 22:14:47 [Note]: 4020 67069 1966080
08/05/06 22:14:47 [Note]: 4018 67069 1966080
08/05/06 22:14:47 [Note]: 4020 67069 1966080
08/05/06 22:14:47 [Note]: 4018 67069 1966080
08/05/06 22:14:47 [Note]: 4020 67069 1966080
08/05/06 22:14:47 [Note]: 4018 67069 1966080

Reply

Marsh Posté le 05-08-2006 à 22:46:58    

Désactive tea-timer de spybot ainsi que windows defender.
 
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir de l'étape 3 à l'étape 7 sans accès à internet.
 
1/ Télécharge :
 
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
 
- PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippes-le sur ton bureau.
 
 
2/ Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous (copie tout d'un trait, sauf le mot "citation" ) :
 

Citation :

REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\WINDOWS\System32\egaccess4_1062.dll"=-
"C:\WINDOWS\System32\egaccess4_1063.dll"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ntrgfilb]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ntrgfilb]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ntrgfilb"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ntrgfilb"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1062.dll]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1063.dll]
[-HKEY_USERS\S-1-5-21-515967899-842925246-1708537768-1007\Software\LanConfig]


 
Dans le menu "fichier" de ce document texte, sélectionner "enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix0.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix0.reg doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg
 
 
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
 
 
3/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci :
c:\bfu\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique sur Exit pour fermer le programme BFU.
 
5/ Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
=> Supprime-les tous
 
4/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
 
5/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
6/ Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
 
copie d'un trait les 5 lignes de la citation suivante, sauf le mot "citation" :
 

Citation :

C:\windows\system32\ntrgfilb.exe
c:\WINDOWS\system32\ntrgfilb.dat
c:\WINDOWS\system32\ntrgfilb_nav.dat
c:\WINDOWS\system32\ntrgfilb_navps.dat
c:\WINDOWS\Prefetch\NTRGFILB.EXE-26BF41AD.pf


 
=> clic droit / "copier"
 
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
 
Au deux messages qui vont s'afficher,tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.
 
7/ Supprime le dossier C:\!Killbox et poste :
 
- un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
- un nouveau rapport blbeta.
 
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
 

Reply

Marsh Posté le 05-08-2006 à 22:48:34    

fais bien attention dans le fichier reg, au bug du forum hardware qui consiste à placer des smileys à la place de C : / (sans espace)

Reply

Marsh Posté le 06-08-2006 à 00:22:25    

Tout as bien fonctionne. Merci beaucoup pour les instructions et l'aide. Je n'ai pas encore de diagnostic définitif si oui ou non ça a réglé le problème. Je pourrais le dire demain.
 
Seule choses que j'ai eu une hésitation dans le procédure :
- le killbox : seuls 2 des fichiers était dans la liste déroulantes. Raisons: ils n'existaient pas sur le disque dur.
- CCleaner : en ayant enlevé toutes les options supplémentaires, il n'y avait pas de menu ou raccourci pour lancer le programme. J'ai donc faire "Démarrer" -> "Exécuter" -> "CCleaner" et c'était OK.
 
blbeta : No hidden items found. Log:
 
08/06/06 00:06:41 [Info]: BlackLight Engine 1.0.42 initialized
08/06/06 00:06:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/06/06 00:06:42 [Note]: 7019 4
08/06/06 00:06:42 [Note]: 7005 0
08/06/06 00:06:46 [Note]: 7006 0
08/06/06 00:06:46 [Note]: 7011 1556
08/06/06 00:06:47 [Note]: 7026 0
08/06/06 00:06:47 [Note]: 7026 0
08/06/06 00:07:05 [Note]: FSRAW library version 1.7.1019
08/06/06 00:07:05 [Note]: 2000 1006
08/06/06 00:07:06 [Error]: 4000 5
08/06/06 00:07:06 [Note]: 4005 5
08/06/06 00:07:07 [Error]: 4000 5
08/06/06 00:07:07 [Note]: 4005 5
08/06/06 00:07:09 [Error]: 4000 5
08/06/06 00:07:09 [Note]: 4005 5
08/06/06 00:07:09 [Error]: 4000 5
08/06/06 00:07:09 [Note]: 4005 5
08/06/06 00:07:10 [Error]: 4000 5
08/06/06 00:07:10 [Note]: 4005 5
08/06/06 00:07:12 [Error]: 4000 5
08/06/06 00:07:12 [Note]: 4005 5
08/06/06 00:07:13 [Error]: 4000 5
08/06/06 00:07:13 [Note]: 4005 5
08/06/06 00:07:14 [Error]: 4000 5
08/06/06 00:07:14 [Note]: 4005 5
08/06/06 00:07:15 [Error]: 4000 5
08/06/06 00:07:15 [Note]: 4005 5
08/06/06 00:07:16 [Error]: 4000 5
08/06/06 00:07:16 [Note]: 4005 5
08/06/06 00:07:16 [Error]: 4000 5
08/06/06 00:07:16 [Note]: 4005 5
08/06/06 00:07:17 [Error]: 4000 5
08/06/06 00:07:17 [Note]: 4005 5
08/06/06 00:07:18 [Error]: 4000 5
08/06/06 00:07:18 [Note]: 4005 5
08/06/06 00:07:19 [Error]: 4000 5
08/06/06 00:07:19 [Note]: 4005 5
08/06/06 00:07:19 [Error]: 4000 5
08/06/06 00:07:19 [Note]: 4005 5
08/06/06 00:07:20 [Error]: 4000 5
08/06/06 00:07:20 [Note]: 4005 5
08/06/06 00:07:20 [Error]: 4000 5
08/06/06 00:07:20 [Note]: 4005 5
08/06/06 00:07:22 [Error]: 4000 5
08/06/06 00:07:22 [Note]: 4005 5
08/06/06 00:07:23 [Error]: 4000 5
08/06/06 00:07:23 [Note]: 4005 5
08/06/06 00:07:24 [Error]: 4000 5
08/06/06 00:07:24 [Note]: 4005 5
08/06/06 00:07:25 [Error]: 4000 5
08/06/06 00:07:25 [Note]: 4005 5
08/06/06 00:07:26 [Error]: 4000 5
08/06/06 00:07:26 [Note]: 4005 5
08/06/06 00:07:27 [Error]: 4000 5
08/06/06 00:07:27 [Note]: 4005 5
08/06/06 00:07:28 [Error]: 4000 5
08/06/06 00:07:28 [Note]: 4005 5
08/06/06 00:07:29 [Error]: 4000 5
08/06/06 00:07:29 [Note]: 4005 5
08/06/06 00:07:32 [Error]: 4000 5
08/06/06 00:07:32 [Note]: 4005 5
08/06/06 00:07:33 [Error]: 4000 5
08/06/06 00:07:33 [Note]: 4005 5
08/06/06 00:07:34 [Error]: 4000 5
08/06/06 00:07:34 [Note]: 4005 5
08/06/06 00:07:35 [Error]: 4000 5
08/06/06 00:07:35 [Note]: 4005 5
08/06/06 00:07:36 [Error]: 4000 5
08/06/06 00:07:36 [Note]: 4005 5
08/06/06 00:07:37 [Error]: 4000 5
08/06/06 00:07:37 [Note]: 4005 5
08/06/06 00:07:39 [Error]: 4000 5
08/06/06 00:07:39 [Note]: 4005 5
08/06/06 00:07:40 [Error]: 4000 5
08/06/06 00:07:40 [Note]: 4005 5
08/06/06 00:07:41 [Error]: 4000 5
08/06/06 00:07:41 [Note]: 4005 5
08/06/06 00:07:43 [Error]: 4000 5
08/06/06 00:07:43 [Note]: 4005 5
08/06/06 00:07:44 [Error]: 4000 5
08/06/06 00:07:44 [Note]: 4005 5
08/06/06 00:07:45 [Error]: 4000 5
08/06/06 00:07:45 [Note]: 4005 5
08/06/06 00:07:47 [Error]: 4000 5
08/06/06 00:07:47 [Note]: 4005 5
08/06/06 00:07:48 [Error]: 4000 5
08/06/06 00:07:48 [Note]: 4005 5
08/06/06 00:07:50 [Error]: 4000 5
08/06/06 00:07:50 [Note]: 4005 5
08/06/06 00:07:51 [Error]: 4000 5
08/06/06 00:07:51 [Note]: 4005 5
08/06/06 00:07:52 [Error]: 4000 5
08/06/06 00:07:52 [Note]: 4005 5
08/06/06 00:07:53 [Error]: 4000 5
08/06/06 00:07:53 [Note]: 4005 5
08/06/06 00:07:55 [Error]: 4000 5
08/06/06 00:07:55 [Note]: 4005 5
08/06/06 00:07:56 [Error]: 4000 5
08/06/06 00:07:56 [Note]: 4005 5
08/06/06 00:07:57 [Error]: 4000 5
08/06/06 00:07:57 [Note]: 4005 5
08/06/06 00:07:59 [Error]: 4000 5
08/06/06 00:07:59 [Note]: 4005 5
08/06/06 00:08:00 [Error]: 4000 5
08/06/06 00:08:00 [Note]: 4005 5
08/06/06 00:08:02 [Error]: 4000 5
08/06/06 00:08:02 [Note]: 4005 5
08/06/06 00:08:03 [Error]: 4000 5
08/06/06 00:08:03 [Note]: 4005 5
08/06/06 00:08:04 [Error]: 4000 5
08/06/06 00:08:04 [Note]: 4005 5
08/06/06 00:08:05 [Error]: 4000 5
08/06/06 00:08:05 [Note]: 4005 5
08/06/06 00:08:06 [Error]: 4000 5
08/06/06 00:08:06 [Note]: 4005 5
08/06/06 00:08:06 [Error]: 4000 5
08/06/06 00:08:06 [Note]: 4005 5
08/06/06 00:08:09 [Error]: 4000 5
08/06/06 00:08:09 [Note]: 4005 5
08/06/06 00:08:12 [Error]: 4000 5
08/06/06 00:08:12 [Note]: 4005 5
08/06/06 00:08:13 [Error]: 4000 5
08/06/06 00:08:13 [Note]: 4005 5
08/06/06 00:08:14 [Error]: 4000 5
08/06/06 00:08:14 [Note]: 4005 5
08/06/06 00:08:16 [Error]: 4000 5
08/06/06 00:08:16 [Note]: 4005 5
08/06/06 00:08:17 [Error]: 4000 5
08/06/06 00:08:17 [Note]: 4005 5
08/06/06 00:08:17 [Error]: 4000 5
08/06/06 00:08:17 [Note]: 4005 5
08/06/06 00:08:18 [Error]: 4000 5
08/06/06 00:08:18 [Note]: 4005 5
08/06/06 00:08:18 [Error]: 4000 5
08/06/06 00:08:18 [Note]: 4005 5
08/06/06 00:08:19 [Error]: 4000 5
08/06/06 00:08:19 [Note]: 4005 5
08/06/06 00:08:19 [Error]: 4000 5
08/06/06 00:08:19 [Note]: 4005 5
08/06/06 00:08:20 [Error]: 4000 5
08/06/06 00:08:20 [Note]: 4005 5
08/06/06 00:08:21 [Error]: 4000 5
08/06/06 00:08:21 [Note]: 4005 5
08/06/06 00:08:22 [Error]: 4000 5
08/06/06 00:08:22 [Note]: 4005 5
08/06/06 00:08:23 [Error]: 4000 5
08/06/06 00:08:23 [Note]: 4005 5
08/06/06 00:08:24 [Error]: 4000 5
08/06/06 00:08:24 [Note]: 4005 5
08/06/06 00:08:25 [Error]: 4000 5
08/06/06 00:08:25 [Note]: 4005 5
08/06/06 00:08:26 [Error]: 4000 5
08/06/06 00:08:26 [Note]: 4005 5
08/06/06 00:08:27 [Error]: 4000 5
08/06/06 00:08:27 [Note]: 4005 5
08/06/06 00:08:28 [Error]: 4000 5
08/06/06 00:08:28 [Note]: 4005 5
08/06/06 00:08:35 [Error]: 4000 5
08/06/06 00:08:35 [Note]: 4005 5
08/06/06 00:08:38 [Error]: 4000 5
08/06/06 00:08:38 [Note]: 4005 5
08/06/06 00:08:44 [Error]: 4000 5
08/06/06 00:08:44 [Note]: 4005 5
08/06/06 00:08:47 [Error]: 4000 5
08/06/06 00:08:47 [Note]: 4005 5
08/06/06 00:08:53 [Error]: 4000 5
08/06/06 00:08:53 [Note]: 4005 5
08/06/06 00:09:00 [Error]: 4000 5
08/06/06 00:09:00 [Note]: 4005 5
08/06/06 00:09:09 [Error]: 4000 5
08/06/06 00:09:09 [Note]: 4005 5
08/06/06 00:09:17 [Error]: 4000 5
08/06/06 00:09:17 [Note]: 4005 5
08/06/06 00:09:24 [Error]: 4000 5
08/06/06 00:09:24 [Note]: 4005 5
08/06/06 00:09:27 [Error]: 4000 5
08/06/06 00:09:27 [Note]: 4005 5
08/06/06 00:09:28 [Error]: 4000 5
08/06/06 00:09:28 [Note]: 4005 5
08/06/06 00:09:29 [Error]: 4000 5
08/06/06 00:09:29 [Note]: 4005 5
08/06/06 00:09:56 [Error]: 4000 5
08/06/06 00:09:56 [Note]: 4005 5
08/06/06 00:10:00 [Error]: 4000 5
08/06/06 00:10:00 [Note]: 4005 5
08/06/06 00:10:05 [Error]: 4000 5
08/06/06 00:10:05 [Note]: 4005 5
08/06/06 00:10:12 [Error]: 4000 5
08/06/06 00:10:12 [Note]: 4005 5
08/06/06 00:10:17 [Error]: 4000 5
08/06/06 00:10:17 [Note]: 4005 5
08/06/06 00:10:33 [Error]: 4000 5
08/06/06 00:10:33 [Note]: 4005 5
08/06/06 00:10:45 [Error]: 4000 5
08/06/06 00:10:45 [Note]: 4005 5
08/06/06 00:10:48 [Error]: 4000 5
08/06/06 00:10:48 [Note]: 4005 5
08/06/06 00:10:51 [Error]: 4000 5
08/06/06 00:10:51 [Note]: 4005 5
08/06/06 00:11:07 [Error]: 4000 5
08/06/06 00:11:07 [Note]: 4005 5
08/06/06 00:11:26 [Error]: 4000 5
08/06/06 00:11:26 [Note]: 4005 5
08/06/06 00:11:46 [Error]: 4000 5
08/06/06 00:11:46 [Note]: 4005 5
08/06/06 00:12:05 [Error]: 4000 5
08/06/06 00:12:05 [Note]: 4005 5
08/06/06 00:12:13 [Error]: 4000 5
08/06/06 00:12:13 [Note]: 4005 5
08/06/06 00:12:20 [Error]: 4000 5
08/06/06 00:12:20 [Note]: 4005 5
 
 
HijackThis report:
 
Logfile of HijackThis v1.99.1
Scan saved at 00:05:27, on 06/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HT\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} -  
O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} -  
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 4588163921
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} -  
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} -  
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

Reply

Marsh Posté le 06-08-2006 à 01:23:24    

Désactive tea-timer de spybot ainsi que windows defender. maintenant car tu vas supprimer des éléments inscrits dans le registre.
 
Dans HijackThis, coche ces lignes :
 
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} -  
O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} -  
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} -  
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} -  
 
puis tu cliques sur "fix checked"
 
Tu peux controler que Spybot ne trouve plus rien, si le fichier reg a bien fonctionné, ça ne devrait plus être le cas.
 
Encore une ou deux petites manips et tout sera ok pour toi.

Reply

Marsh Posté le 06-08-2006 à 01:23:24   

Reply

Marsh Posté le 06-08-2006 à 08:45:43    

Après contrôle avec Spybot, plus de MagicControl.Agent, génial!
Toutefois, WinAntiVirusPro2006 est réapparu... c'est dingue ce truc :-(

Reply

Marsh Posté le 06-08-2006 à 12:30:55    

Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et poste un rapport Panda
 
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
 

Reply

Marsh Posté le 06-08-2006 à 13:02:03    

Juste un petit mot pour remercier eZula pour son aide précieuse qui m'a permis de me débarasser de magic control en quelques minutes :)

Reply

Marsh Posté le 06-08-2006 à 15:44:39    

Rapport Panda:
 
 
Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Adware:adware/emediacodec                                                       No Désinfecté                 c:\documents and settings\all users\bureau\Online Security Guide.url                                                                                                                                                                                            
Adware:adware/securityerror                                                     No Désinfecté                 c:\windows\system32\ot.ico                                                                                                                                                                                                                                      
Outil indésirable:application/winfixer2005                                      No Désinfecté                 c:\windows\downloaded program files\UWA6PV_0001_N76M1904NetInstaller.exe                                                                                                                                                                                        
Adware:adware/spywarequake                                                      No Désinfecté                 c:\windows\system32\1024\ld11D9.tmp                                                                                                                                                                                                                              
Adware:adware/searchexe                                                         No Désinfecté                 Registre Windows                                                                                                                                                                                                                                                
Spyware:Cookie/Falkag                                                           No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@as1.falkag[1].txt                                                                                                                                                                          
Spyware:Cookie/Belnk                                                            No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@belnk[1].txt                                                                                                                                                                              
Spyware:Cookie/Casinotropez                                                     No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@casinotropez[2].txt                                                                                                                                                                        
Spyware:Cookie/Cgi-bin                                                          No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@cgi-bin[2].txt                                                                                                                                                                            
Spyware:Cookie/Com.com                                                          No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@com[1].txt                                                                                                                                                                                
Spyware:Cookie/Belnk                                                            No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@dist.belnk[2].txt                                                                                                                                                                          
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@doubleclick[2].txt                                                                                                                                                                        
Spyware:Cookie/ErrorSafe                                                        No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@errorsafe[2].txt                                                                                                                                                                          
Spyware:Cookie/fe.lea.lycos                                                     No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@fe.lea.lycos[1].txt                                                                                                                                                                        
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@mediaplex[1].txt                                                                                                                                                                          
Spyware:Cookie/2o7                                                              No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@microsofteup.112.2o7[2].txt                                                                                                                                                                
Spyware:Cookie/Statcounter                                                      No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@statcounter[1].txt                                                                                                                                                                        
Spyware:Cookie/Reliablestats                                                    No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@stats1.reliablestats[2].txt                                                                                                                                                                
Spyware:Cookie/Tradedoubler                                                     No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@tradedoubler[1].txt                                                                                                                                                                        
Spyware:Cookie/ErrorSafe                                                        No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@www.errorsafe[1].txt                                                                                                                                                                      
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@xiti[1].txt                                                                                                                                                                                
Spyware:Cookie/Yadro                                                            No Désinfecté                 C:\Documents and Settings\User1\Cookies\User1@yadro[2].txt                                                                                                                                                                              
Dialer:Dialer.DFU                                                               No Désinfecté                 C:\Documents and Settings\User1\Local Settings\Temp\F.tmp                                                                                                                                                                                            
Spyware:Cookie/Com.com                                                          No Désinfecté                 C:\PRG\Documents and Settings\User1\Cookies\User1@com[2].txt                                                                                                                                                                            
Adware:Adware/Dyfuca                                                            No Désinfecté                 C:\PRG\Documents and Settings\User1\Local Settings\Temporary Internet Files\Content.IE5\IE1BTWON\UniDist[1].CAB[UniDist.inf]                                                                                                                        
Outil indésirable:Application/Winantivirus2006                                  No Désinfecté                 C:\Program Files\Common Files\Companion Wizard\WapCHK.dll                                                                                                                                                                                                        
Outil indésirable:Application/ErrorSafe                                         No Désinfecté                 C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWAS6V_0001_N68M1103NetInstaller.exe                                                                                                                                                                              
Outil indésirable:Application/ErrorSafe                                         No Désinfecté                 C:\WINDOWS\Downloaded Program Files\UWAS6V_0001_N68M1103NetInstaller.exe                                                                                                                                                                                        
Dialer:Dialer.GXI                                                               No Désinfecté                 C:\WINDOWS\iaccess32.exe                                                                                                                                                                                                                                        

Reply

Marsh Posté le 06-08-2006 à 15:48:52    

il y a d'autres petites saletés
 
télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le
 
 :hello: v@lvic


Message édité par eZula le 06-08-2006 à 15:49:17
Reply

Marsh Posté le 06-08-2006 à 16:57:25    

SmitFraudFix v2.81
 
Rapport fait à 16:56:40.94, 06/08/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nadine\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nadine\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 

Reply

Marsh Posté le 06-08-2006 à 17:20:44    

démarre en mode sans échec
 
* Lance le nettoyage avec CCleaner
 
* double-clique sur le fichier "SmitfraudFix.cmd" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
 
* Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
 
copie d'un trait les 7 lignes de la citation suivante, sauf le mot "citation" :
 

Citation :

c:\windows\downloaded program files\UWA6PV_0001_N76M1904NetInstaller.exe
C:\Documents and Settings\User1\Local Settings\Temp\F.tmp
C:\PRG\Documents and Settings\User1\Local Settings\Temporary Internet Files\Content.IE5\IE1BTWON\UniDist[1].CAB
C:\Program Files\Common Files\Companion Wizard\WapCHK.dll  
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWAS6V_0001_N68M1103NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UWAS6V_0001_N68M1103NetInstaller.exe  
C:\WINDOWS\iaccess32.exe


 
=> clic droit / "copier"
 
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
 
Au deux messages qui vont s'afficher,tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.  
 
Ensuite, refais un scan panda et poste le rapport du fix que tu as sauvegardé


Message édité par eZula le 06-08-2006 à 17:22:50
Reply

Marsh Posté le 06-08-2006 à 19:37:00    


Incident                                                                        Statut                        Analyse  
 
                                                                                                                       
 
                                                                                                                       
 
         
 
Adware:adware/searchexe                                                         No Désinfecté                 Registre  
 
Windows                                                                                                                
 
                                                                                                                       
 
         
Dialer:Dialer.GXI                                                               No Désinfecté                  
 
C:\!KillBox\iaccess32.exe                                                                                              
 
                                                                                                                       
 
                   
Outil indésirable:Application/ErrorSafe                                         No Désinfecté                  
 
C:\!KillBox\UWAS6V_0001_N68M1103NetInstaller.exe                                                                        
 
                                                                                                                       
 
                   
Outil indésirable:Application/ErrorSafe                                         No Désinfecté                  
 
C:\!KillBox\UWAS6V_0001_N68M1103NetInstaller.exe( 1)                                                                    
 
                                                                                                                       
 
                   
Outil indésirable:Application/Winantivirus2006                                  No Désinfecté                  
 
C:\!KillBox\WapCHK.dll                                                                                                  
 
                                                                                                                       
 
                   
Spyware:Cookie/Falkag                                                           No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@as1.falkag[1].txt                                                        
 
                                                                                                                 
Spyware:Cookie/Belnk                                                            No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@belnk[1].txt                                                              
 
                                                                                                                 
Spyware:Cookie/Casinotropez                                                     No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@casinotropez[2].txt                                                      
 
                                                                                                                 
Spyware:Cookie/Cgi-bin                                                          No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@cgi-bin[2].txt                                                            
 
                                                                                                                 
Spyware:Cookie/Com.com                                                          No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@com[1].txt                                                                
 
                                                                                                                 
Spyware:Cookie/Belnk                                                            No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@dist.belnk[2].txt                                                        
 
                                                                                                                 
Spyware:Cookie/Doubleclick                                                      No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@doubleclick[2].txt                                                        
 
                                                                                                                 
Spyware:Cookie/ErrorSafe                                                        No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@errorsafe[2].txt                                                          
 
                                                                                                                 
Spyware:Cookie/fe.lea.lycos                                                     No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@fe.lea.lycos[1].txt                                                      
 
                                                                                                                 
Spyware:Cookie/Mediaplex                                                        No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@mediaplex[1].txt                                                          
 
                                                                                                                 
Spyware:Cookie/2o7                                                              No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@microsofteup.112.2o7[2].txt                                              
 
                                                                                                                 
Spyware:Cookie/Statcounter                                                      No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@statcounter[1].txt                                                        
 
                                                                                                                 
Spyware:Cookie/Reliablestats                                                    No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@stats1.reliablestats[2].txt                                              
 
                                                                                                                 
Spyware:Cookie/Tradedoubler                                                     No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@tradedoubler[1].txt                                                      
 
                                                                                                                 
Spyware:Cookie/ErrorSafe                                                        No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@www.errorsafe[1].txt                                                      
 
                                                                                                                 
Spyware:Cookie/Xiti                                                             No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@xiti[1].txt                                                              
 
                                                                                                                 
Spyware:Cookie/Yadro                                                            No Désinfecté                  
 
C:\Documents and Settings\User1\Cookies\User1@yadro[2].txt                                                              
 
                                                                                                                 
Dialer:Dialer.DFU                                                               No Désinfecté                  
 
C:\Documents and Settings\User1\Local Settings\Temp\F.tmp                                                              
 
                                                                                                                       
 
       
Spyware:Cookie/Com.com                                                          No Désinfecté                  
 
C:\PRG\Documents and Settings\User1\Cookies\User1@com[2].txt                                                            
 
                                                                                                                 
Adware:Adware/Dyfuca                                                            No Désinfecté                  
 
C:\PRG\Documents and Settings\User1\Local Settings\Temporary Internet  
 
Files\Content.IE5\IE1BTWON\UniDist[1].CAB[UniDist.inf]                                                                  
 
                                                       
Outil indésirable:Application/Processor                                         No Désinfecté                  
 
C:\SmitfraudFix\Process.exe                                                                                            
 
                                                                                                                       
 
                   

Reply

Marsh Posté le 10-08-2006 à 22:46:44    

Merci pour toute cette aide. C'est fou quand même.
Je fais quoi maintenant ? Le système semble toujours embourbé comme pas 2 !! Sorry, j'espère que j'abuse pas !
 
Merci d'avance,
Christian

Reply

Marsh Posté le 10-08-2006 à 22:58:44    

salut dsl j'avais zappé ton post.  
Supprime le dossier C:\!Killbox
vide ce dossier C:\Documents and Settings\User1\Local Settings\Temp\
 
ferme ton navigateur et lance le nettoyage avec CCleaner.
 
Toujuors embourbé, càd ? tu peux refaire un scan blacklight par curiosité ?

Reply

Marsh Posté le 11-08-2006 à 01:31:23    

C'est clean d'après blacklight.
Je viens d'identifier un bout de mon probème. Ce qui se passe c'est qu'après le login (environ une minute après), le processeur est à coin et il est impossible de démarrer quoique ce soit. Le menu démarrer s'ouvre mais aucun clique n'a d'effet. Ça dure environ 5 minutes puis tout redevient normal.
 
Avec Process Explorer de sysinternals, j'ai identifié que c'est le service de mise à jour autmatique (wuauclt.exe) qui provoque ça.
 
Est-ce que t'as une idée de quoi ça vient ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed