MagicControl.Agent + HijackThis log - Sécurité - Windows & Software
Marsh Posté le 05-08-2006 à 19:29:28
bonjour
1/ Fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus.
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire
un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.
2/ Télécharge F-Secure Blacklight (800ko) https://europe.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
Marsh Posté le 05-08-2006 à 20:57:00
Ok, merci ! Je poste aussi fsbl-....log ?
Voici déjà IA.txt:
*** Répertoires ***
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Rpertoire de C:\Program Files\Fichiers communs
03/08/2006 22:34 <REP> .
03/08/2006 22:34 <REP> ..
15/07/2002 01:02 <REP> ADAPTEC
07/01/2003 13:16 <REP> Adobe
17/02/2002 19:15 <REP> Designer
06/08/2002 16:14 <REP> Epsitec
06/08/2002 15:32 <REP> FotoWire
16/11/2003 11:58 <REP> InstallShield
06/04/1999 14:27 99'840 IRAABOUT.DLL
09/12/1998 04:53 48'640 IRALPTTR.DLL
09/12/1998 04:53 70'144 IRAMDMTR.DLL
09/12/1998 04:53 186'368 IRAREG.DLL
09/12/1998 04:53 17'920 IRASRIAL.DLL
09/12/1998 04:53 31'744 IRAWEBTR.DLL
12/02/2001 21:24 <REP> Logitech
01/08/2006 16:27 <REP> Microsoft Shared
08/12/2005 10:32 <REP> Motive
06/08/2002 00:02 <REP> MSSoap
09/01/2001 15:56 <REP> ODBC
15/07/2002 02:02 <REP> Real
01/08/2006 16:27 <REP> SERVICES
06/08/2002 00:25 <REP> SpeechEngines
20/04/2006 11:20 <REP> Symantec Shared
03/08/2006 13:56 <REP> SYSTEM
6 fichier(s) 454'656 octets
18 Rp(s) 28'505'028'096 octets libres
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Rpertoire de C:\Program Files
04/08/2006 09:01 <REP> .
04/08/2006 09:01 <REP> ..
09/01/2001 15:56 <REP> Accessoires
15/07/2002 01:02 <REP> Adaptec
07/01/2003 13:08 <REP> Adobe
20/04/2006 10:07 <REP> Alwil Software
15/12/2005 09:13 <REP> Bluewin
13/02/2001 01:43 <REP> Codemasters
21/05/2006 06:45 <REP> Common Files
06/08/2002 00:01 <REP> ComPlus Applications
28/01/2001 12:22 <REP> CompuServe
24/03/2003 12:56 <REP> Cresus
26/01/2001 03:14 <REP> directx
26/01/2001 04:42 <REP> ELSACfgMgr
03/08/2006 22:34 <REP> Fichiers communs
03/08/2006 08:56 <REP> Grisoft
24/10/2002 21:17 <REP> Hewlett-Packard
26/05/2003 10:49 <REP> HistoryKill
12/02/2001 22:00 <REP> IEL
03/08/2006 13:58 <REP> Internet Explorer
11/02/2001 23:55 <REP> InterVideo
16/02/2001 22:26 <REP> Iomega
09/07/2006 19:29 <REP> Lavasoft
12/02/2001 21:24 <REP> Logitech
03/08/2006 13:56 <REP> Messenger
06/08/2002 08:55 <REP> Microsoft FrontPage
09/01/2001 15:52 <REP> Microsoft Money
06/08/2002 09:16 <REP> Microsoft Office
09/01/2001 15:49 <REP> Microsoft Picture It!
17/02/2002 19:15 <REP> Microsoft Visual Studio
01/08/2006 15:06 <REP> Movie Maker
11/06/2003 10:35 <REP> MSN
09/01/2001 15:54 <REP> MSN Gaming Zone
01/08/2006 14:59 <REP> NetMeeting
08/12/2005 11:37 <REP> Netopia
20/04/2006 10:06 <REP> Norton SystemWorks
03/08/2006 20:51 <REP> OfficeUpdate11
03/08/2006 13:56 <REP> Outlook Express
09/01/2001 15:56 <REP> Plus!
16/02/2001 23:53 <REP> PowerQuest
09/01/2001 15:51 <REP> Publication Web
08/04/2006 14:05 <REP> QuickTime
15/07/2002 02:02 <REP> Real
06/08/2002 00:04 <REP> Services en ligne
06/08/2002 09:15 <REP> Snapshot Viewer
03/08/2006 12:40 <REP> Spybot - Search & Destroy
20/04/2006 10:04 <REP> Symantec
21/06/2004 15:11 <REP> TelCD
16/11/2003 11:58 <REP> TWIXTEL
20/08/2002 14:26 <REP> UBS e-banking
20/05/2006 17:47 <REP> ultrabaise
17/02/2001 10:26 <REP> Wacom
03/08/2006 23:05 <REP> Windows Defender
03/08/2006 17:32 <REP> Windows Media Connect 2
03/08/2006 17:27 <REP> Windows Media Player
01/08/2006 14:58 <REP> Windows NT
21/11/2001 00:53 <REP> WS_FTP
06/08/2002 00:09 <REP> xerox
04/08/2006 09:06 <REP> XoftSpySE
21/03/2004 20:00 <REP> yellownet13
06/08/2003 10:21 <REP> yellownetjavaedition
0 fichier(s) 0 octets
61 Rp(s) 28'505'023'488 octets libres
*** Fichiers ***
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Rpertoire de C:\WINDOWS\system32
08/04/2006 14:21 69'632 egaccess4_1061.dll
18/05/2006 19:26 69'120 egaccess4_1062.dll
08/06/2006 11:25 70'144 egaccess4_1063.dll
3 fichier(s) 208'896 octets
Total des fichiers listsÿ:
3 fichier(s) 208'896 octets
0 Rp(s) 28'505'011'200 octets libres
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
Le volume dans le lecteur C s'appelle SYSTÔME
Le numro de srie du volume est AC44-5150
*** Registre ***
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
C:\WINDOWS\System32\egaccess4_1062.dll REG_DWORD 0x1
C:\WINDOWS\System32\egaccess4_1063.dll REG_DWORD 0x1
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/System32/egaccess4_1062.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/System32/egaccess4_1063.dll
Magic Control
HKEY_USERS\S-1-5-21-515967899-842925246-1708537768-1007\Software\LanConfig
*** Terminé ***
Marsh Posté le 05-08-2006 à 21:02:11
ce modeste fichier de recherche, IA.bat, trouve rarement des fichiers. En fait, je pense qu'à ce stade, s'il en trouve c'est qu'il y a un souci avec l'antivirus (mise à jour ou autre)
Oui, poste le fichier fsbl c'est le rapport blacklight
dis, au fait, le dossier "ultrabaise" dans program files", ça te dit qquechose ?
Marsh Posté le 05-08-2006 à 21:47:27
Ouais, en effet, c'était un virus. Il est loin. Blacklight tourne...
Marsh Posté le 05-08-2006 à 22:34:14
Blacklight report:
08/05/06 21:37:49 [Info]: BlackLight Engine 1.0.42 initialized
08/05/06 21:37:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/05/06 21:37:54 [Note]: 7019 4
08/05/06 21:37:54 [Note]: 7005 0
08/05/06 21:38:04 [Note]: 7006 0
08/05/06 21:38:04 [Note]: 7011 1972
08/05/06 21:38:05 [Note]: 7026 0
08/05/06 21:38:05 [Note]: 7026 0
08/05/06 21:38:05 [Note]: 7024 3
08/05/06 21:38:05 [Info]: Hidden process: C:\windows\system32\ntrgfilb.exe
08/05/06 21:38:05 [Note]: FSRAW library version 1.7.1019
08/05/06 21:38:07 [Error]: 4000 5
08/05/06 21:38:07 [Note]: 4005 5
08/05/06 21:38:27 [Note]: 4014 29358
08/05/06 21:38:27 [Note]: 4020 29357 1923940352
08/05/06 21:38:27 [Note]: 4018 29357 1923940352
08/05/06 21:49:24 [Note]: 4014 90157
08/05/06 21:49:24 [Note]: 4020 90157 131072
08/05/06 21:49:24 [Note]: 4018 90157 131072
08/05/06 21:49:32 [Error]: 4000 5
08/05/06 21:49:32 [Note]: 4005 5
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\ADI
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\DXF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\DXF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\Fla
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\Für
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\GIF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\JPE
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\Pho
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\SVG
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Info]: Hidden file: c:\Program Files\Adobe\Illustrator 9.0\Zusatzmodule\Illustrator-Formate - Standard\TIF
08/05/06 21:49:35 [Note]: 10002 3
08/05/06 21:49:35 [Note]: 10002 2
08/05/06 22:00:29 [Info]: Hidden file: c:\WINDOWS\system32\ntrgfilb.dat
08/05/06 22:00:29 [Note]: 10002 1
08/05/06 22:00:30 [Info]: Hidden file: C:\windows\system32\ntrgfilb.exe
08/05/06 22:00:30 [Note]: 10002 1
08/05/06 22:00:30 [Info]: Hidden file: c:\WINDOWS\system32\ntrgfilb_nav.dat
08/05/06 22:00:30 [Note]: 10002 1
08/05/06 22:00:31 [Info]: Hidden file: c:\WINDOWS\system32\ntrgfilb_navps.dat
08/05/06 22:00:31 [Note]: 10002 1
08/05/06 22:05:06 [Info]: Hidden file: c:\WINDOWS\Prefetch\NTRGFILB.EXE-26BF41AD.pf
08/05/06 22:05:07 [Note]: 10002 1
08/05/06 22:06:02 [Note]: 4017 35432
08/05/06 22:06:02 [Note]: 4027 35432 -1972699136
08/05/06 22:06:02 [Note]: 4020 66691 917504
08/05/06 22:06:02 [Note]: 4018 66691 917504
08/05/06 22:06:04 [Note]: 4014 69830
08/05/06 22:06:04 [Note]: 4020 69828 1048576
08/05/06 22:06:04 [Note]: 4022 69828
08/05/06 22:14:47 [Note]: 4020 67069 1966080
08/05/06 22:14:47 [Note]: 4018 67069 1966080
08/05/06 22:14:47 [Note]: 4020 67069 1966080
08/05/06 22:14:47 [Note]: 4018 67069 1966080
08/05/06 22:14:47 [Note]: 4020 67069 1966080
08/05/06 22:14:47 [Note]: 4018 67069 1966080
Marsh Posté le 05-08-2006 à 22:46:58
Désactive tea-timer de spybot ainsi que windows defender.
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir de l'étape 3 à l'étape 7 sans accès à internet.
1/ Télécharge :
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
- PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip
Dézippes-le sur ton bureau.
2/ Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous (copie tout d'un trait, sauf le mot "citation" ) :
Citation : REGEDIT4 |
Dans le menu "fichier" de ce document texte, sélectionner "enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix0.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix0.reg doit ressembler à cela
*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****
3/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci :
c:\bfu\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique sur Exit pour fermer le programme BFU.
5/ Démarrer/panneau de configuration/options internet
- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
=> Supprime-les tous
4/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
5/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.
6/ Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie d'un trait les 5 lignes de la citation suivante, sauf le mot "citation" :
Citation : C:\windows\system32\ntrgfilb.exe |
=> clic droit / "copier"
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.
7/ Supprime le dossier C:\!Killbox et poste :
- un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
- un nouveau rapport blbeta.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
Marsh Posté le 05-08-2006 à 22:48:34
fais bien attention dans le fichier reg, au bug du forum hardware qui consiste à placer des smileys à la place de C : / (sans espace)
Marsh Posté le 06-08-2006 à 00:22:25
Tout as bien fonctionne. Merci beaucoup pour les instructions et l'aide. Je n'ai pas encore de diagnostic définitif si oui ou non ça a réglé le problème. Je pourrais le dire demain.
Seule choses que j'ai eu une hésitation dans le procédure :
- le killbox : seuls 2 des fichiers était dans la liste déroulantes. Raisons: ils n'existaient pas sur le disque dur.
- CCleaner : en ayant enlevé toutes les options supplémentaires, il n'y avait pas de menu ou raccourci pour lancer le programme. J'ai donc faire "Démarrer" -> "Exécuter" -> "CCleaner" et c'était OK.
blbeta : No hidden items found. Log:
08/06/06 00:06:41 [Info]: BlackLight Engine 1.0.42 initialized
08/06/06 00:06:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/06/06 00:06:42 [Note]: 7019 4
08/06/06 00:06:42 [Note]: 7005 0
08/06/06 00:06:46 [Note]: 7006 0
08/06/06 00:06:46 [Note]: 7011 1556
08/06/06 00:06:47 [Note]: 7026 0
08/06/06 00:06:47 [Note]: 7026 0
08/06/06 00:07:05 [Note]: FSRAW library version 1.7.1019
08/06/06 00:07:05 [Note]: 2000 1006
08/06/06 00:07:06 [Error]: 4000 5
08/06/06 00:07:06 [Note]: 4005 5
08/06/06 00:07:07 [Error]: 4000 5
08/06/06 00:07:07 [Note]: 4005 5
08/06/06 00:07:09 [Error]: 4000 5
08/06/06 00:07:09 [Note]: 4005 5
08/06/06 00:07:09 [Error]: 4000 5
08/06/06 00:07:09 [Note]: 4005 5
08/06/06 00:07:10 [Error]: 4000 5
08/06/06 00:07:10 [Note]: 4005 5
08/06/06 00:07:12 [Error]: 4000 5
08/06/06 00:07:12 [Note]: 4005 5
08/06/06 00:07:13 [Error]: 4000 5
08/06/06 00:07:13 [Note]: 4005 5
08/06/06 00:07:14 [Error]: 4000 5
08/06/06 00:07:14 [Note]: 4005 5
08/06/06 00:07:15 [Error]: 4000 5
08/06/06 00:07:15 [Note]: 4005 5
08/06/06 00:07:16 [Error]: 4000 5
08/06/06 00:07:16 [Note]: 4005 5
08/06/06 00:07:16 [Error]: 4000 5
08/06/06 00:07:16 [Note]: 4005 5
08/06/06 00:07:17 [Error]: 4000 5
08/06/06 00:07:17 [Note]: 4005 5
08/06/06 00:07:18 [Error]: 4000 5
08/06/06 00:07:18 [Note]: 4005 5
08/06/06 00:07:19 [Error]: 4000 5
08/06/06 00:07:19 [Note]: 4005 5
08/06/06 00:07:19 [Error]: 4000 5
08/06/06 00:07:19 [Note]: 4005 5
08/06/06 00:07:20 [Error]: 4000 5
08/06/06 00:07:20 [Note]: 4005 5
08/06/06 00:07:20 [Error]: 4000 5
08/06/06 00:07:20 [Note]: 4005 5
08/06/06 00:07:22 [Error]: 4000 5
08/06/06 00:07:22 [Note]: 4005 5
08/06/06 00:07:23 [Error]: 4000 5
08/06/06 00:07:23 [Note]: 4005 5
08/06/06 00:07:24 [Error]: 4000 5
08/06/06 00:07:24 [Note]: 4005 5
08/06/06 00:07:25 [Error]: 4000 5
08/06/06 00:07:25 [Note]: 4005 5
08/06/06 00:07:26 [Error]: 4000 5
08/06/06 00:07:26 [Note]: 4005 5
08/06/06 00:07:27 [Error]: 4000 5
08/06/06 00:07:27 [Note]: 4005 5
08/06/06 00:07:28 [Error]: 4000 5
08/06/06 00:07:28 [Note]: 4005 5
08/06/06 00:07:29 [Error]: 4000 5
08/06/06 00:07:29 [Note]: 4005 5
08/06/06 00:07:32 [Error]: 4000 5
08/06/06 00:07:32 [Note]: 4005 5
08/06/06 00:07:33 [Error]: 4000 5
08/06/06 00:07:33 [Note]: 4005 5
08/06/06 00:07:34 [Error]: 4000 5
08/06/06 00:07:34 [Note]: 4005 5
08/06/06 00:07:35 [Error]: 4000 5
08/06/06 00:07:35 [Note]: 4005 5
08/06/06 00:07:36 [Error]: 4000 5
08/06/06 00:07:36 [Note]: 4005 5
08/06/06 00:07:37 [Error]: 4000 5
08/06/06 00:07:37 [Note]: 4005 5
08/06/06 00:07:39 [Error]: 4000 5
08/06/06 00:07:39 [Note]: 4005 5
08/06/06 00:07:40 [Error]: 4000 5
08/06/06 00:07:40 [Note]: 4005 5
08/06/06 00:07:41 [Error]: 4000 5
08/06/06 00:07:41 [Note]: 4005 5
08/06/06 00:07:43 [Error]: 4000 5
08/06/06 00:07:43 [Note]: 4005 5
08/06/06 00:07:44 [Error]: 4000 5
08/06/06 00:07:44 [Note]: 4005 5
08/06/06 00:07:45 [Error]: 4000 5
08/06/06 00:07:45 [Note]: 4005 5
08/06/06 00:07:47 [Error]: 4000 5
08/06/06 00:07:47 [Note]: 4005 5
08/06/06 00:07:48 [Error]: 4000 5
08/06/06 00:07:48 [Note]: 4005 5
08/06/06 00:07:50 [Error]: 4000 5
08/06/06 00:07:50 [Note]: 4005 5
08/06/06 00:07:51 [Error]: 4000 5
08/06/06 00:07:51 [Note]: 4005 5
08/06/06 00:07:52 [Error]: 4000 5
08/06/06 00:07:52 [Note]: 4005 5
08/06/06 00:07:53 [Error]: 4000 5
08/06/06 00:07:53 [Note]: 4005 5
08/06/06 00:07:55 [Error]: 4000 5
08/06/06 00:07:55 [Note]: 4005 5
08/06/06 00:07:56 [Error]: 4000 5
08/06/06 00:07:56 [Note]: 4005 5
08/06/06 00:07:57 [Error]: 4000 5
08/06/06 00:07:57 [Note]: 4005 5
08/06/06 00:07:59 [Error]: 4000 5
08/06/06 00:07:59 [Note]: 4005 5
08/06/06 00:08:00 [Error]: 4000 5
08/06/06 00:08:00 [Note]: 4005 5
08/06/06 00:08:02 [Error]: 4000 5
08/06/06 00:08:02 [Note]: 4005 5
08/06/06 00:08:03 [Error]: 4000 5
08/06/06 00:08:03 [Note]: 4005 5
08/06/06 00:08:04 [Error]: 4000 5
08/06/06 00:08:04 [Note]: 4005 5
08/06/06 00:08:05 [Error]: 4000 5
08/06/06 00:08:05 [Note]: 4005 5
08/06/06 00:08:06 [Error]: 4000 5
08/06/06 00:08:06 [Note]: 4005 5
08/06/06 00:08:06 [Error]: 4000 5
08/06/06 00:08:06 [Note]: 4005 5
08/06/06 00:08:09 [Error]: 4000 5
08/06/06 00:08:09 [Note]: 4005 5
08/06/06 00:08:12 [Error]: 4000 5
08/06/06 00:08:12 [Note]: 4005 5
08/06/06 00:08:13 [Error]: 4000 5
08/06/06 00:08:13 [Note]: 4005 5
08/06/06 00:08:14 [Error]: 4000 5
08/06/06 00:08:14 [Note]: 4005 5
08/06/06 00:08:16 [Error]: 4000 5
08/06/06 00:08:16 [Note]: 4005 5
08/06/06 00:08:17 [Error]: 4000 5
08/06/06 00:08:17 [Note]: 4005 5
08/06/06 00:08:17 [Error]: 4000 5
08/06/06 00:08:17 [Note]: 4005 5
08/06/06 00:08:18 [Error]: 4000 5
08/06/06 00:08:18 [Note]: 4005 5
08/06/06 00:08:18 [Error]: 4000 5
08/06/06 00:08:18 [Note]: 4005 5
08/06/06 00:08:19 [Error]: 4000 5
08/06/06 00:08:19 [Note]: 4005 5
08/06/06 00:08:19 [Error]: 4000 5
08/06/06 00:08:19 [Note]: 4005 5
08/06/06 00:08:20 [Error]: 4000 5
08/06/06 00:08:20 [Note]: 4005 5
08/06/06 00:08:21 [Error]: 4000 5
08/06/06 00:08:21 [Note]: 4005 5
08/06/06 00:08:22 [Error]: 4000 5
08/06/06 00:08:22 [Note]: 4005 5
08/06/06 00:08:23 [Error]: 4000 5
08/06/06 00:08:23 [Note]: 4005 5
08/06/06 00:08:24 [Error]: 4000 5
08/06/06 00:08:24 [Note]: 4005 5
08/06/06 00:08:25 [Error]: 4000 5
08/06/06 00:08:25 [Note]: 4005 5
08/06/06 00:08:26 [Error]: 4000 5
08/06/06 00:08:26 [Note]: 4005 5
08/06/06 00:08:27 [Error]: 4000 5
08/06/06 00:08:27 [Note]: 4005 5
08/06/06 00:08:28 [Error]: 4000 5
08/06/06 00:08:28 [Note]: 4005 5
08/06/06 00:08:35 [Error]: 4000 5
08/06/06 00:08:35 [Note]: 4005 5
08/06/06 00:08:38 [Error]: 4000 5
08/06/06 00:08:38 [Note]: 4005 5
08/06/06 00:08:44 [Error]: 4000 5
08/06/06 00:08:44 [Note]: 4005 5
08/06/06 00:08:47 [Error]: 4000 5
08/06/06 00:08:47 [Note]: 4005 5
08/06/06 00:08:53 [Error]: 4000 5
08/06/06 00:08:53 [Note]: 4005 5
08/06/06 00:09:00 [Error]: 4000 5
08/06/06 00:09:00 [Note]: 4005 5
08/06/06 00:09:09 [Error]: 4000 5
08/06/06 00:09:09 [Note]: 4005 5
08/06/06 00:09:17 [Error]: 4000 5
08/06/06 00:09:17 [Note]: 4005 5
08/06/06 00:09:24 [Error]: 4000 5
08/06/06 00:09:24 [Note]: 4005 5
08/06/06 00:09:27 [Error]: 4000 5
08/06/06 00:09:27 [Note]: 4005 5
08/06/06 00:09:28 [Error]: 4000 5
08/06/06 00:09:28 [Note]: 4005 5
08/06/06 00:09:29 [Error]: 4000 5
08/06/06 00:09:29 [Note]: 4005 5
08/06/06 00:09:56 [Error]: 4000 5
08/06/06 00:09:56 [Note]: 4005 5
08/06/06 00:10:00 [Error]: 4000 5
08/06/06 00:10:00 [Note]: 4005 5
08/06/06 00:10:05 [Error]: 4000 5
08/06/06 00:10:05 [Note]: 4005 5
08/06/06 00:10:12 [Error]: 4000 5
08/06/06 00:10:12 [Note]: 4005 5
08/06/06 00:10:17 [Error]: 4000 5
08/06/06 00:10:17 [Note]: 4005 5
08/06/06 00:10:33 [Error]: 4000 5
08/06/06 00:10:33 [Note]: 4005 5
08/06/06 00:10:45 [Error]: 4000 5
08/06/06 00:10:45 [Note]: 4005 5
08/06/06 00:10:48 [Error]: 4000 5
08/06/06 00:10:48 [Note]: 4005 5
08/06/06 00:10:51 [Error]: 4000 5
08/06/06 00:10:51 [Note]: 4005 5
08/06/06 00:11:07 [Error]: 4000 5
08/06/06 00:11:07 [Note]: 4005 5
08/06/06 00:11:26 [Error]: 4000 5
08/06/06 00:11:26 [Note]: 4005 5
08/06/06 00:11:46 [Error]: 4000 5
08/06/06 00:11:46 [Note]: 4005 5
08/06/06 00:12:05 [Error]: 4000 5
08/06/06 00:12:05 [Note]: 4005 5
08/06/06 00:12:13 [Error]: 4000 5
08/06/06 00:12:13 [Note]: 4005 5
08/06/06 00:12:20 [Error]: 4000 5
08/06/06 00:12:20 [Note]: 4005 5
HijackThis report:
Logfile of HijackThis v1.99.1
Scan saved at 00:05:27, on 06/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} -
O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 4588163921
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} -
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} -
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
Marsh Posté le 06-08-2006 à 01:23:24
Désactive tea-timer de spybot ainsi que windows defender. maintenant car tu vas supprimer des éléments inscrits dans le registre.
Dans HijackThis, coche ces lignes :
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} -
O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} -
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} -
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} -
puis tu cliques sur "fix checked"
Tu peux controler que Spybot ne trouve plus rien, si le fichier reg a bien fonctionné, ça ne devrait plus être le cas.
Encore une ou deux petites manips et tout sera ok pour toi.
Marsh Posté le 06-08-2006 à 08:45:43
Après contrôle avec Spybot, plus de MagicControl.Agent, génial!
Toutefois, WinAntiVirusPro2006 est réapparu... c'est dingue ce truc :-(
Marsh Posté le 06-08-2006 à 12:30:55
Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et poste un rapport Panda
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
Marsh Posté le 06-08-2006 à 13:02:03
Juste un petit mot pour remercier eZula pour son aide précieuse qui m'a permis de me débarasser de magic control en quelques minutes
Marsh Posté le 06-08-2006 à 15:44:39
Rapport Panda:
Incident Statut Analyse
Adware:adware/emediacodec No Désinfecté c:\documents and settings\all users\bureau\Online Security Guide.url
Adware:adware/securityerror No Désinfecté c:\windows\system32\ot.ico
Outil indésirable:application/winfixer2005 No Désinfecté c:\windows\downloaded program files\UWA6PV_0001_N76M1904NetInstaller.exe
Adware:adware/spywarequake No Désinfecté c:\windows\system32\1024\ld11D9.tmp
Adware:adware/searchexe No Désinfecté Registre Windows
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\User1\Cookies\User1@as1.falkag[1].txt
Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\User1\Cookies\User1@belnk[1].txt
Spyware:Cookie/Casinotropez No Désinfecté C:\Documents and Settings\User1\Cookies\User1@casinotropez[2].txt
Spyware:Cookie/Cgi-bin No Désinfecté C:\Documents and Settings\User1\Cookies\User1@cgi-bin[2].txt
Spyware:Cookie/Com.com No Désinfecté C:\Documents and Settings\User1\Cookies\User1@com[1].txt
Spyware:Cookie/Belnk No Désinfecté C:\Documents and Settings\User1\Cookies\User1@dist.belnk[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\User1\Cookies\User1@doubleclick[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\User1\Cookies\User1@errorsafe[2].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\User1\Cookies\User1@fe.lea.lycos[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\User1\Cookies\User1@mediaplex[1].txt
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\User1\Cookies\User1@microsofteup.112.2o7[2].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\User1\Cookies\User1@statcounter[1].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\User1\Cookies\User1@stats1.reliablestats[2].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\User1\Cookies\User1@tradedoubler[1].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\User1\Cookies\User1@www.errorsafe[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\User1\Cookies\User1@xiti[1].txt
Spyware:Cookie/Yadro No Désinfecté C:\Documents and Settings\User1\Cookies\User1@yadro[2].txt
Dialer:Dialer.DFU No Désinfecté C:\Documents and Settings\User1\Local Settings\Temp\F.tmp
Spyware:Cookie/Com.com No Désinfecté C:\PRG\Documents and Settings\User1\Cookies\User1@com[2].txt
Adware:Adware/Dyfuca No Désinfecté C:\PRG\Documents and Settings\User1\Local Settings\Temporary Internet Files\Content.IE5\IE1BTWON\UniDist[1].CAB[UniDist.inf]
Outil indésirable:Application/Winantivirus2006 No Désinfecté C:\Program Files\Common Files\Companion Wizard\WapCHK.dll
Outil indésirable:Application/ErrorSafe No Désinfecté C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWAS6V_0001_N68M1103NetInstaller.exe
Outil indésirable:Application/ErrorSafe No Désinfecté C:\WINDOWS\Downloaded Program Files\UWAS6V_0001_N68M1103NetInstaller.exe
Dialer:Dialer.GXI No Désinfecté C:\WINDOWS\iaccess32.exe
Marsh Posté le 06-08-2006 à 15:48:52
il y a d'autres petites saletés
télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis loption 1, il va lister tous les éléments nuisibles dans un rapport : poste le
v@lvic
Marsh Posté le 06-08-2006 à 16:57:25
SmitFraudFix v2.81
Rapport fait à 16:56:40.94, 06/08/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nadine\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Nadine\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Marsh Posté le 06-08-2006 à 17:20:44
démarre en mode sans échec
* Lance le nettoyage avec CCleaner
* double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
* Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie d'un trait les 7 lignes de la citation suivante, sauf le mot "citation" :
Citation : c:\windows\downloaded program files\UWA6PV_0001_N76M1904NetInstaller.exe |
=> clic droit / "copier"
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
Au deux messages qui vont s'afficher,tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.
Ensuite, refais un scan panda et poste le rapport du fix que tu as sauvegardé
Marsh Posté le 06-08-2006 à 19:37:00
Incident Statut Analyse
Adware:adware/searchexe No Désinfecté Registre
Windows
Dialer:Dialer.GXI No Désinfecté
C:\!KillBox\iaccess32.exe
Outil indésirable:Application/ErrorSafe No Désinfecté
C:\!KillBox\UWAS6V_0001_N68M1103NetInstaller.exe
Outil indésirable:Application/ErrorSafe No Désinfecté
C:\!KillBox\UWAS6V_0001_N68M1103NetInstaller.exe( 1)
Outil indésirable:Application/Winantivirus2006 No Désinfecté
C:\!KillBox\WapCHK.dll
Spyware:Cookie/Falkag No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@as1.falkag[1].txt
Spyware:Cookie/Belnk No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@belnk[1].txt
Spyware:Cookie/Casinotropez No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@casinotropez[2].txt
Spyware:Cookie/Cgi-bin No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@cgi-bin[2].txt
Spyware:Cookie/Com.com No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@com[1].txt
Spyware:Cookie/Belnk No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@dist.belnk[2].txt
Spyware:Cookie/Doubleclick No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@doubleclick[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@errorsafe[2].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@fe.lea.lycos[1].txt
Spyware:Cookie/Mediaplex No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@mediaplex[1].txt
Spyware:Cookie/2o7 No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@microsofteup.112.2o7[2].txt
Spyware:Cookie/Statcounter No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@statcounter[1].txt
Spyware:Cookie/Reliablestats No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@stats1.reliablestats[2].txt
Spyware:Cookie/Tradedoubler No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@tradedoubler[1].txt
Spyware:Cookie/ErrorSafe No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@www.errorsafe[1].txt
Spyware:Cookie/Xiti No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@xiti[1].txt
Spyware:Cookie/Yadro No Désinfecté
C:\Documents and Settings\User1\Cookies\User1@yadro[2].txt
Dialer:Dialer.DFU No Désinfecté
C:\Documents and Settings\User1\Local Settings\Temp\F.tmp
Spyware:Cookie/Com.com No Désinfecté
C:\PRG\Documents and Settings\User1\Cookies\User1@com[2].txt
Adware:Adware/Dyfuca No Désinfecté
C:\PRG\Documents and Settings\User1\Local Settings\Temporary Internet
Files\Content.IE5\IE1BTWON\UniDist[1].CAB[UniDist.inf]
Outil indésirable:Application/Processor No Désinfecté
C:\SmitfraudFix\Process.exe
Marsh Posté le 10-08-2006 à 22:46:44
Merci pour toute cette aide. C'est fou quand même.
Je fais quoi maintenant ? Le système semble toujours embourbé comme pas 2 !! Sorry, j'espère que j'abuse pas !
Merci d'avance,
Christian
Marsh Posté le 10-08-2006 à 22:58:44
salut dsl j'avais zappé ton post.
Supprime le dossier C:\!Killbox
vide ce dossier C:\Documents and Settings\User1\Local Settings\Temp\
ferme ton navigateur et lance le nettoyage avec CCleaner.
Toujuors embourbé, càd ? tu peux refaire un scan blacklight par curiosité ?
Marsh Posté le 11-08-2006 à 01:31:23
C'est clean d'après blacklight.
Je viens d'identifier un bout de mon probème. Ce qui se passe c'est qu'après le login (environ une minute après), le processeur est à coin et il est impossible de démarrer quoique ce soit. Le menu démarrer s'ouvre mais aucun clique n'a d'effet. Ça dure environ 5 minutes puis tout redevient normal.
Avec Process Explorer de sysinternals, j'ai identifié que c'est le service de mise à jour autmatique (wuauclt.exe) qui provoque ça.
Est-ce que t'as une idée de quoi ça vient ?
Marsh Posté le 05-08-2006 à 19:27:28
Bonjour,
Je n'arrive pas à me débarasser de MagicControl.Agent (selon SpyBot).
J'ai suivi les instructions que j'ai trouvée sur ce forum et me permet de vous soumettre le log de HijackThis dans l'espoir que quelqu'un puisse me dire ce que je dois virer.
Merci d'avance.
Christian
Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 13:03:54, on 04/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ntrgfilb] c:\windows\system32\ntrgfilb.exe ntrgfilb
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/e [...] 4_1063.cab
O16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} - http://scripts.dlv4.com/binaries/e [...] 4_1062.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 4588163921
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_EN_XP.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/I [...] _EN_XP.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)