[LOGICIEL] [Centralisation] .:::: Hijackthis ::::.

[snooky]

@ X-System :

Tant pis pour AVG.

Qu'on donné les autres scans ?

Poste un nouveau rapport Blacklight .

_____________________________________________________

@ adin59 :

Télécharge Navilog :

http://snooky730.free.fr/Programmes/navilog1.zip

Dézippe et clique sur Navilog1.bat ... option 2 .

Redémarre le pc .

Poste un nouveau rapport de Blacklight

[snooky]

@ Tortuga :

Passe BlacklLight F-Secure et poste le rapport:

http://www.f-secure.com/blacklight/

[snooky]

@ icedream :

Désinstalle McAffe et Kav 5 .

Passe ce fix: http://kasperskyfans.sniffernews.com/downl...sky/Kleaner.exe

Passe ce fix: http://kasperskyfans.sniffernews.com/downl...ky/RegClean.exe

Redémarre le pc .

Passe Clean 1.4 by FRUiT.( vise ma signature )

Redémarre le pc .

Coche et fixe ces lignes :

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [KAV50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165436387\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

Installe le fichier Hosts ( vise ma signature )

Passe Regseeker :( vise ma signature )

Nettoyer le registre , sélectionne tout ce qu'il a trouvé ( clic droit ) et supprime .

Défragmente ton disque avec JKDefrag : ( clique sur JKDefrag )

http://www.kessels.com/JkDefrag/JkDefrag-3.7.zip

Redémarre le pc et poste un nouveau rapport Hijackthis .

[adin59]

voila j'ai fais comme tu m'a dis voila les rapport

rapport blacklight :

03/17/07 09:13:54 [info]: BlackLight Engine 1.0.55 initialized

03/17/07 09:13:54 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/17/07 09:13:54 [Note]: 7019 4

03/17/07 09:13:54 [Note]: 7005 0

03/17/07 09:13:56 [Note]: 7006 0

03/17/07 09:13:56 [Note]: 7011 212

03/17/07 09:13:56 [Note]: 7026 0

03/17/07 09:13:57 [Note]: 7026 0

03/17/07 09:13:57 [Note]: 7024 3

03/17/07 09:13:57 [info]: Hidden process: D:\windows\system32\bkpnvqihwx.exe

03/17/07 09:14:02 [Note]: FSRAW library version 1.7.1021

03/17/07 09:18:05 [info]: Hidden file: d:\WINDOWS\system32\bkpnvqihwx.dat

03/17/07 09:18:05 [Note]: 10002 1

03/17/07 09:18:05 [info]: Hidden file: D:\windows\system32\bkpnvqihwx.exe

03/17/07 09:18:05 [Note]: 10002 1

03/17/07 09:18:05 [info]: Hidden file: d:\WINDOWS\system32\bkpnvqihwx_nav.dat

03/17/07 09:18:05 [Note]: 10002 1

03/17/07 09:18:05 [info]: Hidden file: d:\WINDOWS\system32\bkpnvqihwx_navps.dat

03/17/07 09:18:05 [Note]: 10002 1

03/17/07 09:19:01 [Note]: 7007 0

rapport navilog1 :

Clean Navipromo version 1.0.2 commencé le 17/03/2007 à 9:03:09,76

Fix lancé depuis D:\Documents and Settings\Adin\Bureau\1

Mise a jour le 14.01.2007 a 11h30 by IL-MAFIOSO

Executé en mode sans echec

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans D:\WINDOWS ***

*** Suppression dossiers dans D:\Program Files ***

*** Suppression fichiers ***

D:\WINDOWS\system32\nvs2.inf supprimé !

*** Sauvegarde du registre ***

sauvegarde du registre terminée avec succes

*** Nettoyage registre ***

Nettoyage registre Ok

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

Le résultat peut révéler des fichiers légitimes !

*

D:\WINDOWS\system32\bkpnvqihwx.dat

**

D:\WINDOWS\system32\bkpnvqihwx.dat

***

****

*****

******

D:\WINDOWS\system32\bkpnvqihwx.dat

*** Nettoyage termine le 17/03/2007 à 9:06:07,70 ***

merci

[Eagle4_92]

Salut

J'ai quelque petit problèmes, des pubs qui aparaisse toute seul (avant je n'avais aucun problème de ce type), et des rapport d'erreur à chaque fois que je lance un programme si mon ordi est allumé depuis longtemps (+ de 1 jour).

J'ai formaté il y a pas très longtemps (1 mois) et avant je n'avais aucun problème.

J'ai passé CCleaner et Hitman pro mais rien à faire.

Merci de m'aider

Logfile of HijackThis v1.99.1

Scan saved at 10:59:39, on 17/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Microsoft IntelliType Pro\type32.exe

F:\DAEMON Tools\daemon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\eMule\emule.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

F:\HIJACKTHIS VF\hijackthis vf.exe

C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "F:\DAEMON Tools\daemon.exe" -lang 1036

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [eMuleAutoStart] D:\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{BACD8812-A72E-490B-BA4E-0763DC211967}: NameServer = 212.30.96.108,213.203.124.246

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

[icedream]

voilà snooky !

c'est mieux comme ça ?

Logfile of HijackThis v1.99.1

Scan saved at 11:33:56, on 17/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

C:\Program Files\Thomson\Thomson Wireless Music Link Manager\Thomson Wireless Music Link Manager.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AOL 9.0\aoltray.exe

C:\WINDOWS\system32\Wtablet\TabUserW.exe

C:\Program Files\Wireless\Client Manager\CMags.EXE

C:\Program Files\Microsoft Encarta\Collection Encarta 2003\EDICT.EXE

C:\Program Files\Fichiers communs\AOL\1165436387\ee\aolsoftware.exe

C:\Documents and Settings\admin\Mes documents\outils\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [Thomson] C:\Program Files\Thomson\Thomson Wireless Music Link Manager\Thomson Wireless Music Link Manager.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe

O4 - Global Startup: Wireless Client Manager.lnk = ?

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O11 - Options group: [iNTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

[snooky]

@ adin59 :

Dans l'ordre , scan à nouveau avec Navilog ,option 2 , puis Blacklight .

Poste les rapports .

____________________________________________

@ Eagle4_92 :

Télécharge Navilog :

http://snooky730.free.fr/Programmes/navilog1.zip

Dézippe et clique sur Navilog1.bat ... option 2 .

Poste le rapport .

Scan avec Blacklight et poste le rapport :

http://www.f-secure.com/blacklight/

[Eagle4_92]

Salut,

Entre mon rapport et ta réponse j'ai passé plusieurs logiciels pour essayer de résoudre le problème, RegSeeker, Regcleaner, AVG Anti-spyware (Ewido dans ta signature). Mais de toute façon c'est la même chose, les pubs sont en général pour des scans du sytème ou des anti-spyware, est-ce que ça pourait avoir été introduit par Hitman pro comme il installe plins de truc tout seul

Alors voila le premier rapport :

Clean Navipromo version 1.0.2 commencé le 17/03/2007 à 15:14:50,20

Fix lancé depuis C:\Documents and Settings\Nico\Bureau\navilog

Mise a jour le 14.01.2007 a 11h30 by IL-MAFIOSO

Executé en mode sans echec

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Sauvegarde du registre ***

sauvegarde du registre terminée avec succes

*** Nettoyage registre ***

Nettoyage registre Ok

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

Le résultat peut révéler des fichiers légitimes !

*

C:\WINDOWS\system32\oqrsuvefhi.dat

**

C:\WINDOWS\system32\oqrsuvefhi.dat

***

****

*****

******

C:\WINDOWS\system32\oqrsuvefhi.dat

*** Nettoyage termine le 17/03/2007 à 15:15:23,07 ***

______________________________________________________________

Et voila le deuxième :

03/17/07 15:16:55 [info]: BlackLight Engine 1.0.55 initialized

03/17/07 15:16:55 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/17/07 15:16:59 [Note]: 7019 4

03/17/07 15:16:59 [Note]: 7005 0

03/17/07 15:17:11 [Note]: 7006 0

03/17/07 15:17:11 [Note]: 7011 1964

03/17/07 15:17:12 [Note]: 7026 0

03/17/07 15:17:12 [Note]: 7026 0

03/17/07 15:17:12 [Note]: 7024 3

03/17/07 15:17:12 [info]: Hidden process: C:\windows\system32\oqrsuvefhi.exe

03/17/07 15:17:22 [Note]: FSRAW library version 1.7.1021

03/17/07 15:20:47 [info]: Hidden file: c:\WINDOWS\system32\oqrsuvefhi.dat

03/17/07 15:20:47 [Note]: 10002 1

03/17/07 15:20:47 [info]: Hidden file: C:\windows\system32\oqrsuvefhi.exe

03/17/07 15:20:47 [Note]: 10002 1

03/17/07 15:20:47 [info]: Hidden file: c:\WINDOWS\system32\oqrsuvefhi_nav.dat

03/17/07 15:20:47 [Note]: 10002 1

03/17/07 15:20:47 [info]: Hidden file: c:\WINDOWS\system32\oqrsuvefhi_navps.dat

03/17/07 15:20:47 [Note]: 10002 1

03/17/07 15:21:15 [Note]: 2000 1012

03/17/07 15:21:15 [Note]: 2000 1012

03/17/07 15:21:15 [Note]: 2000 1012

03/17/07 15:24:41 [Note]: 7007 0

Merci de ton aide

[snooky]

Désactive la restauration système .

Désinstalle Hitman Pro .

Repasse Navipro ( option 2 ) en mode sans échec et redémarre le pc , puis poste le rapport .

Scan à nouveau avec Blacklight et poste le rapport.

[Eagle4_92]

Voila le rapport de Navipro :

Clean Navipromo version 1.0.2 commencé le 17/03/2007 à 15:35:33,92

Fix lancé depuis C:\Documents and Settings\Nico\Bureau\navilog

Mise a jour le 14.01.2007 a 11h30 by IL-MAFIOSO

Executé en mode sans echec

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression fichiers ***

*** Sauvegarde du registre ***

sauvegarde du registre terminée avec succes

*** Nettoyage registre ***

Nettoyage registre Ok

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

Le résultat peut révéler des fichiers légitimes !

*

C:\WINDOWS\system32\oqrsuvefhi.dat

**

C:\WINDOWS\system32\oqrsuvefhi.dat

***

****

*****

******

C:\WINDOWS\system32\oqrsuvefhi.dat

*** Nettoyage termine le 17/03/2007 à 15:36:04,34 ***

Et voila celui de Blacklight :

03/17/07 15:37:31 [info]: BlackLight Engine 1.0.55 initialized

03/17/07 15:37:31 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/17/07 15:37:31 [Note]: 7019 4

03/17/07 15:37:31 [Note]: 7005 0

03/17/07 15:37:36 [Note]: 7006 0

03/17/07 15:37:36 [Note]: 7011 1932

03/17/07 15:37:36 [Note]: 7026 0

03/17/07 15:37:36 [Note]: 7026 0

03/17/07 15:37:36 [Note]: 7024 3

03/17/07 15:37:36 [info]: Hidden process: C:\windows\system32\oqrsuvefhi.exe

03/17/07 15:37:46 [Note]: FSRAW library version 1.7.1021

03/17/07 15:41:04 [info]: Hidden file: c:\WINDOWS\system32\oqrsuvefhi.dat

03/17/07 15:41:04 [Note]: 10002 1

03/17/07 15:41:04 [info]: Hidden file: C:\windows\system32\oqrsuvefhi.exe

03/17/07 15:41:04 [Note]: 10002 1

03/17/07 15:41:04 [info]: Hidden file: c:\WINDOWS\system32\oqrsuvefhi_nav.dat

03/17/07 15:41:04 [Note]: 10002 1

03/17/07 15:41:04 [info]: Hidden file: c:\WINDOWS\system32\oqrsuvefhi_navps.dat

03/17/07 15:41:04 [Note]: 10002 1

03/17/07 15:41:31 [Note]: 2000 1012

03/17/07 15:41:31 [Note]: 2000 1012

03/17/07 15:41:31 [Note]: 2000 1012

03/17/07 15:42:06 [Note]: 7007 0

[snooky]

@ Eagle4_92 :

Télécharge Avenger :

http://swandog46.geekstogo.com/avenger.zip

Clique sur ok , puis sélectionne " Input script manually "

Clique sur la loupe.

Copie/colle ce texte :

files to delete:

C:\windows\system32\oqrsuvefhi.exe

c:\WINDOWS\system32\oqrsuvefhi.dat

C:\windows\system32\oqrsuvefhi.exe

c:\WINDOWS\system32\oqrsuvefhi_nav.dat

c:\WINDOWS\system32\oqrsuvefhi_navps.dat

Clique sur "Done"

Clique sur le " Feu vert"

Puis ok ... ok ... reboot ...

Un log est créé , il devrait dire que les fichiers ont bien été supprimés.

Relance BlackLight et poste le nouveau rapport.

[Eagle4_92]

Alors le rapport donne ça :

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\jrxydgqj

*******************

Script file located at: \??\C:\Documents and Settings\eiorkxlq.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\windows\system32\oqrsuvefhi.exe deleted successfully.

File c:\WINDOWS\system32\oqrsuvefhi.dat deleted successfully.

File C:\windows\system32\oqrsuvefhi.exe not found!

Deletion of file C:\windows\system32\oqrsuvefhi.exe failed!

Could not process line:

C:\windows\system32\oqrsuvefhi.exe

Status: 0xc0000034

File c:\WINDOWS\system32\oqrsuvefhi_nav.dat deleted successfully.

File c:\WINDOWS\system32\oqrsuvefhi_navps.dat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Apparement c'est bon, non ?

Et voici le rapport de Blacklight :

03/17/07 16:02:48 [info]: BlackLight Engine 1.0.55 initialized

03/17/07 16:02:48 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/17/07 16:02:48 [Note]: 7019 4

03/17/07 16:02:48 [Note]: 7005 0

03/17/07 16:02:51 [Note]: 7006 0

03/17/07 16:02:51 [Note]: 7011 1924

03/17/07 16:02:51 [Note]: 7026 0

03/17/07 16:02:51 [Note]: 7026 0

03/17/07 16:02:55 [Note]: FSRAW library version 1.7.1021

03/17/07 16:06:30 [Note]: 2000 1012

03/17/07 16:06:30 [Note]: 2000 1012

03/17/07 16:06:30 [Note]: 2000 1012

03/17/07 16:06:35 [Note]: 7007 0

[snooky]

Oui , Blacklight ne trouve plus les fichiers cachés .

Redémarre le pc et relance Blacklight pour confirmer .

Réactive la restauration système.

Pense à installer un firewall .

++

[snooky]

@ Icedream :

Le pc semble clean .

Scan avec Blacklight et poste le rapport :

http://www.f-secure.com/blacklight/

[Eagle4_92]

Le firewall de mon routeur (D-link DSL 504t) ne suffi pas ? J'ai tourné pendant plus d'un an nikel avec et j'ai jamais eu de souci de pub de ce genre

Blacklight pour confirmer :

03/17/07 16:12:30 [info]: BlackLight Engine 1.0.55 initialized

03/17/07 16:12:30 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/17/07 16:12:30 [Note]: 7019 4

03/17/07 16:12:30 [Note]: 7005 0

03/17/07 16:12:33 [Note]: 7006 0

03/17/07 16:12:33 [Note]: 7011 1920

03/17/07 16:12:33 [Note]: 7026 0

03/17/07 16:12:33 [Note]: 7026 0

03/17/07 16:12:37 [Note]: FSRAW library version 1.7.1021

03/17/07 16:16:32 [Note]: 2000 1012

03/17/07 16:16:32 [Note]: 2000 1012

03/17/07 16:16:32 [Note]: 2000 1012

03/17/07 16:18:47 [Note]: 7007 0

[snooky]

Ok pour le firewall de ton routeur , c'est suffisant

Installe le fichier Hosts ( désactive Client DNS dans services.msc - à taper dans Exécuter -avant )

[Eagle4_92]

Ok

Merci beaucoup Snooky

[icedream]

pas tout compris dans blacklight, snooky...

ça semble aller, mais je n'ai pas trouvé le rapport !

c'est tout good ?

je peux réinstaller kasper ?

et un pare-feu ?

[snooky]

Le rapport est créé automatiquement à coté du fichier Blacklight .

Il se nomme fsbl-XXXXXXXXXXXX.txt

Désactive et réactive la restauration système ( touches windows + pause pour y accéder )

Ok pour Kaspersky , mais évite McAffee en firewall !

[Space]

Logfile of HijackThis v1.99.1

Scan saved at 16:45:33, on 17/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Comodo\Firewall\CPF.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Comodo\Firewall\cmdagent.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\FlashGet\flashget.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Comodo Firewall] "C:\Program Files\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Je poste mon rapport après quelques saletées découvertes par a-squared.

[snooky]

Salut ,

fait nous voir ce que A Squared a découvert

[icedream]

03/17/07 16:46:11 [info]: BlackLight Engine 1.0.55 initialized

03/17/07 16:46:11 [info]: OS: 5.1 build 2600 (Service Pack 2)

03/17/07 16:46:11 [Note]: 7019 4

03/17/07 16:46:11 [Note]: 7005 0

03/17/07 16:46:16 [Note]: 7006 0

03/17/07 16:46:17 [Note]: 7011 920

03/17/07 16:46:17 [Note]: 7026 0

03/17/07 16:46:17 [Note]: 7026 0

03/17/07 16:46:20 [Note]: FSRAW library version 1.7.1021

03/17/07 16:49:26 [Note]: 7007 0

et voilà !!!

il faut m'expliquer longtemps, mais bon...

t'inquiète, mc afee est dans les oubliettes définitivement...

merci snooky !

[X-System]

@ X-System :

Tant pis pour AVG.

Qu'on donné les autres scans ?

Poste un nouveau rapport Blacklight .

Sophos ne trouve rien.

Gdata, j'ai le message d'erreur "error written" puis Gdata ferme tout seul après avoir scanné sur les 3 premiers disques durs.

Le rapport de Blacklight est toujours pareil pour ce fichier.

Par contre, je n'ai plus de pub à chaque nouvelle fenêtre après avoir supprimé les autres fichiers au début (rlvudnz).

Là, ce dernier fichier, il ne fait rien et je n'arrive toujours pas le supprimer à part de formater le disque dur lol

[Space]

Salut ,

fait nous voir ce que A Squared a découvert

Je n'ai plus le rapport mais c'était des traces registres ayant raport à Ares, un soft de P2P que mon frère a installé...

[snooky]

@ X-System :

Essaye de le supprimer avec l'Antirootkit Gmer :

http://www.gmer.net/index.php

_______________________________________________

@ Space :

Scan avec Blacklight et poste le rapport :

http://www.f-secure.com/blacklight/