Sujet Précédent Sujet Suivant

Problèmes de pubs intempestives

Fermé
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009 - 1 juil. 2009 à 15:56
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 - 21 juil. 2009 à 18:25
Bonjour,

Depuis quelques jours, plusieurs pages de publicité s'ouvrent dès que je lance une page web.

Il s'agit souvent des mêmes publicités.

J'utilise AVG comme anti virus et analyse régulièrement mon pc avec ccleaner (mis à jour).

Le problème a commencé après la dernière mise à jour d'AVG.

C'est un ordinateur que j'ai acheté d'occasion mais qui ne présentait aucun problème au moment de l'achat.

Pouvez-vous, s'il-vous-plait, m'aider à résoudre le problème?

Merci d'avance
A voir également:

7 réponses

Réponse 1 / 7
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
1 juil. 2009 à 15:57
Hello,


Je te propose d'apprendre à déceler toi même le problème viral éventuel de ton pc:


Télécharge GenProc de Lazzy et Narco4 sur ton bureau:
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

Dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre.

Toutes les indications pour agir convenablement se trouvent ici (je te conseille de lire l'intégralité de cette page):
http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Poste les rapports tels que GenProc te l'indique au fur et à mesure, je serai là pour te guider et/ou confirmer certaines actions.
1
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 16:12
Voila le rapport que j'ai reçu de Genproc:

Rapport GenProc 2.598 [1] - mer. 01/07/2009 à 16:02:36
@ Windows XP Service Pack 3 - Mode normal

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- WORT http://pc-system.fr/ (dj QUIOU) sur le Bureau.

- Lop S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 (Eric 71 & Angeldark) sur ton Bureau.

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

- SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe (S!Ri). Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste-le maintenant et passe à la suite.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Belgacom *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Lance Toolbar-S&D situé sur le Bureau.
Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

# Etape 4/

Double-clique sur Lop S&D pour lancer l'installation, séléctionne la langue souhaitée, puis choisis l'Option 2 - Suppression - et patiente jusqu'à ce qu'il ait terminé.

# Etape 5/

Double-clique sur le fichier WORT.exe et sélectionne le Bureau à l'aide du bouton "Parcourir". Suis les instructions et double-clique sur le fichier Wareout Removal Tool.bat qui vient d'être créé sur le Bureau. Sélectionne l'option 1 et valide par entrée.

# Etape 6/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 7/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport rapport.txt situé sur le Bureau ;
- Le contenu du rapport TB.txt situé dans C:\ ;
- Le contenu du rapport lopR.txt situé dans C:\ ;
- Le contenu du rapport WORT_report.txt situé dans C:\Wort ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.598 mer. 01/07/2009 à 16:02:54
WareOut:le mer. 01/07/2009 à 16:03:05
[HKEY_LOCAL_MACHINE\system\controlset001\services\tcpip\parameters\interfaces\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
Lop:le mer. 01/07/2009 à 16:03:05 "C:\WINDOWS\Tasks\????????9???????.job"
Toolbar:le mer. 01/07/2009 à 16:03:08 "C:\Program Files\Crawler"
Smitfraud:le mer. 01/07/2009 à 16:03:10 "C:\Program Files\HQ Codec"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 16:03:47 ~~
0
Réponse 2 / 7
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 16:00
Ok!

Merci de cette réponse très rapide.

Je me lance directement dans la démarche que tu m'indiques et posterai les résultats au fur et à mesure.
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
1 juil. 2009 à 16:05
Ok Cocuz,

Poste le rapport de Genproc.
@+
0
Réponse 3 / 7
system R
1 juil. 2009 à 16:02
http://www.commentcamarche.net/telecharger/telecharger 55 antivir salut, tu as attraper un pop up ou un virus.je te conseil de telecharger avira antivir et fais un scan avec... si il a trouver des virus tu le met en quarantaine. tu me post les rapports
0
Réponse 4 / 7
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
1 juil. 2009 à 16:16
Suis les étapes dans l'ordre, poste à chaque fois les rapports pour chaque "logiciel" (sauf pour CCleaner que tu dois exécuter en premier mais qui ne génére pas de rapports).

@+
0
cocuz
1 juil. 2009 à 17:21
Voila, j'ai suivi les différentes étapes.

1.
SmitFraudFix v2.423

Scan done at 16:30:57,26, mer. 01/07/2009
Run from C:\Documents and Settings\Belgacom\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Support.com\bin\tgcmd.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\KMaestro\Key_f.EXE
C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Belgacom


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Belgacom\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Belgacom\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOCUME~1\BELGACOM\STARTM~1\PROGRAMS\HQ Codec FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BELGACOM\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\HQ Codec\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Realtek RTL8139 Family PCI Fast Ethernet NIC - Packet Scheduler Miniport
DNS Server Search Order: 85.255.113.92
DNS Server Search Order: 85.255.112.13

Description: ASUS USB Wireless Network Adapter - Packet Scheduler Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{068D6928-0D05-4F35-829A-094F340F5E9E}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{068D6928-0D05-4F35-829A-094F340F5E9E}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1D1989B6-8B34-47B3-A0DB-938A9F1F544D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{68DE2972-CD05-4576-909F-944F819DFF4C}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8456537D-2163-4889-9DF7-9EE891EA7430}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8456537D-2163-4889-9DF7-9EE891EA7430}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{068D6928-0D05-4F35-829A-094F340F5E9E}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{068D6928-0D05-4F35-829A-094F340F5E9E}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1D1989B6-8B34-47B3-A0DB-938A9F1F544D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{68DE2972-CD05-4576-909F-944F819DFF4C}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8456537D-2163-4889-9DF7-9EE891EA7430}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8456537D-2163-4889-9DF7-9EE891EA7430}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{068D6928-0D05-4F35-829A-094F340F5E9E}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{068D6928-0D05-4F35-829A-094F340F5E9E}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1D1989B6-8B34-47B3-A0DB-938A9F1F544D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{68DE2972-CD05-4576-909F-944F819DFF4C}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8456537D-2163-4889-9DF7-9EE891EA7430}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8456537D-2163-4889-9DF7-9EE891EA7430}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}: DhcpNameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}: NameServer=85.255.113.92,85.255.112.13
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.113.92 85.255.112.13
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.113.92 85.255.112.13
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.113.92 85.255.112.13


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

2.

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 1.70GHz )
BIOS : Award Medallion BIOS v6.0
USER : Belgacom ( Administrator )
BOOT : Fail-safe boot
Antivirus : AVG Anti-Virus Free 8.5 (Activated)
A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:19 Go (Free:8 Go)
D:\ (Local Disk) - FAT32 - Total:17 Go (Free:15 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( mer. 01/07/2009|16:50 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\Crawler\SSaver
Supprime! - C:\Program Files\Crawler\Shared
Supprime! - C:\Program Files\Crawler\Download
Supprime! - C:\Program Files\Crawler\ssmodules.dat
Supprime! - C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Crawler Screensaver
Supprime! - C:\Program Files\PlayMP3z\PlayMP3.exe
Supprime! - C:\Program Files\PlayMP3z\uninstall.exe
Supprime! - C:\DOCUME~1\Belgacom\STARTM~1\Programs\PlayMP3z
Supprime! - C:\Program Files\Crawler
Supprime! - C:\Program Files\PlayMP3z

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.be/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Url"="http://www.microsoft.com/athome/community/rss.xml"
"Url"="http://www.microsoft.com/atwork/community/rss.xml"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[b]==> WAREOUT <==/b




1 - "C:\ToolBar SD\TB_1.txt" - mer. 01/07/2009|16:52 - Option : [2]

-----------\\ Fin du rapport a 16:52:01,98

3.

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 1.70GHz )
BIOS : Award Medallion BIOS v6.0
USER : Belgacom ( Administrator )
BOOT : Fail-safe boot
Antivirus : AVG Anti-Virus Free 8.5 (Activated)
A:\ (USB)
C:\ (Local Disk) - FAT32 - Total:19 Go (Free:8 Go)
D:\ (Local Disk) - FAT32 - Total:17 Go (Free:15 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( mer. 01/07/2009|16:56 )


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\WINDOWS\Tasks\AC4AA1CD918557CD.job
Supprime! - C:\DOCUME~1\BELGACOM\APPLIC~1\nounam~1
Supprime! - C:\Program Files\nounam~1
-
[ Fichier Hosts ] .. Restaure!

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Listing des dossiers dans APPLIC~1

[23/11/2001|16:48] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[23/11/2001|16:33] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[23/11/2001|17:33] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft Web Folders

[08/05/2009|15:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
[19/11/2005|19:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[23/06/2009|16:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVG Security Toolbar
[04/05/2009|18:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg8
[19/05/2007|18:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY
[01/11/2007|15:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[12/05/2009|10:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logishrd
[12/05/2009|10:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
[23/11/2001|16:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[21/10/2005|12:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
[01/03/2009|19:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero
[21/10/2005|10:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Support.com
[28/05/2008|10:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[10/01/2006|18:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Up long dale meow
[21/10/2005|12:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[25/05/2007|16:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
[21/05/2008|17:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[23/11/2001|16:33] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[23/06/2009|16:26] C:\DOCUME~1\LOCALS~1\APPLIC~1\AVGTOOLBAR
[12/05/2009|10:37] C:\DOCUME~1\LOCALS~1\APPLIC~1\Help
[23/11/2001|16:33] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[23/11/2001|16:48] C:\DOCUME~1\OWNER\APPLIC~1\Identities
[23/11/2001|16:33] C:\DOCUME~1\OWNER\APPLIC~1\Microsoft
[23/11/2001|17:33] C:\DOCUME~1\OWNER\APPLIC~1\Microsoft Web Folders

[07/12/2001|10:15] C:\DOCUME~1\BELGACOM\APPLIC~1\Adobe
[19/11/2005|19:41] C:\DOCUME~1\BELGACOM\APPLIC~1\Apple Computer
[04/05/2009|18:57] C:\DOCUME~1\BELGACOM\APPLIC~1\AVGTOOLBAR
[21/10/2005|12:50] C:\DOCUME~1\BELGACOM\APPLIC~1\Creative
[31/07/2007|15:54] C:\DOCUME~1\BELGACOM\APPLIC~1\DivX
[01/11/2007|15:26] C:\DOCUME~1\BELGACOM\APPLIC~1\Google
[07/12/2001|13:32] C:\DOCUME~1\BELGACOM\APPLIC~1\Help
[22/10/2005|15:43] C:\DOCUME~1\BELGACOM\APPLIC~1\Hewlett-Packard
[20/09/2007|15:54] C:\DOCUME~1\BELGACOM\APPLIC~1\ibf
[23/11/2001|16:48] C:\DOCUME~1\BELGACOM\APPLIC~1\Identities
[07/12/2001|10:15] C:\DOCUME~1\BELGACOM\APPLIC~1\InterTrust
[07/12/2001|13:33] C:\DOCUME~1\BELGACOM\APPLIC~1\InterVideo
[12/05/2009|10:48] C:\DOCUME~1\BELGACOM\APPLIC~1\Leadertech
[27/10/2007|15:00] C:\DOCUME~1\BELGACOM\APPLIC~1\LimeWire
[22/10/2005|18:03] C:\DOCUME~1\BELGACOM\APPLIC~1\Macromedia
[22/10/2005|09:07] C:\DOCUME~1\BELGACOM\APPLIC~1\Media Player Classic
[12/12/2006|19:51] C:\DOCUME~1\BELGACOM\APPLIC~1\MegauploadToolbar
[23/11/2001|16:33] C:\DOCUME~1\BELGACOM\APPLIC~1\Microsoft
[23/11/2001|17:33] C:\DOCUME~1\BELGACOM\APPLIC~1\Microsoft Web Folders
[01/12/2007|22:48] C:\DOCUME~1\BELGACOM\APPLIC~1\Mozilla
[21/10/2005|12:07] C:\DOCUME~1\BELGACOM\APPLIC~1\MSN6
[26/04/2009|15:13] C:\DOCUME~1\BELGACOM\APPLIC~1\Nero
[13/12/2005|12:19] C:\DOCUME~1\BELGACOM\APPLIC~1\Real
[09/02/2009|17:47] C:\DOCUME~1\BELGACOM\APPLIC~1\SolidWorks
[03/11/2007|13:14] C:\DOCUME~1\BELGACOM\APPLIC~1\Sun
[21/10/2005|10:40] C:\DOCUME~1\BELGACOM\APPLIC~1\Symantec
[12/02/2006|13:44] C:\DOCUME~1\BELGACOM\APPLIC~1\teamspeak2

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[01/07/2009 16:37][--ah-----] C:\WINDOWS\tasks\SA.DAT
[18/08/2001 06:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[17/04/2006|19:29] C:\Program Files\7-Zip
[29/11/2001|01:41] C:\Program Files\Adobe
[08/05/2009|15:06] C:\Program Files\Ahead
[04/09/2007|18:08] C:\Program Files\Alwil Software
[21/10/2005|12:34] C:\Program Files\ArcSoft
[04/05/2009|18:57] C:\Program Files\AVG
[20/06/2009|11:40] C:\Program Files\BestWayToShop
[10/12/2001|10:05] C:\Program Files\Britannica
[01/07/2009|15:13] C:\Program Files\CCleaner
[10/12/2001|10:40] C:\Program Files\Codemasters
[23/11/2001|16:34] C:\Program Files\Common Files
[23/11/2001|16:40] C:\Program Files\ComPlus Applications
[29/11/2001|01:01] C:\Program Files\Creative
[10/12/2001|10:26] C:\Program Files\directx
[21/10/2005|17:27] C:\Program Files\DivX
[21/12/2001|15:22] C:\Program Files\Eicon
[21/12/2001|16:01] C:\Program Files\Ghost Explorer
[01/11/2007|15:25] C:\Program Files\Google
[07/12/2001|10:08] C:\Program Files\HelpDesk
[21/10/2005|12:24] C:\Program Files\Hewlett-Packard
[20/09/2007|15:54] C:\Program Files\ibf
[21/05/2006|14:49] C:\Program Files\Image-Line
[28/11/2001|15:41] C:\Program Files\InstallShield Installation Information
[23/11/2001|16:41] C:\Program Files\Internet Explorer
[28/11/2001|15:42] C:\Program Files\InterVideo
[27/10/2007|14:58] C:\Program Files\Java
[21/10/2005|18:36] C:\Program Files\K-Lite Codec Pack
[10/05/2009|20:54] C:\Program Files\LimeWire
[14/05/2009|11:01] C:\Program Files\Logitech
[07/05/2006|17:11] C:\Program Files\Loop12 V2
[10/12/2001|11:21] C:\Program Files\Maxis
[29/11/2001|01:25] C:\Program Files\MediaRing Talk
[23/11/2001|16:39] C:\Program Files\Messenger
[10/12/2001|10:17] C:\Program Files\MGI
[08/03/2009|15:17] C:\Program Files\Microchip
[09/05/2007|21:56] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[23/11/2001|16:44] C:\Program Files\microsoft frontpage
[23/11/2001|17:33] C:\Program Files\Microsoft Office
[21/05/2008|17:31] C:\Program Files\Microsoft SQL Server Compact Edition
[05/12/2001|23:07] C:\Program Files\Microsoft Visual Studio
[23/11/2001|16:41] C:\Program Files\Movie Maker
[01/03/2009|19:45] C:\Program Files\MSBuild
[23/11/2001|16:39] C:\Program Files\MSN
[23/11/2001|16:39] C:\Program Files\MSN Gaming Zone
[09/11/2007|11:45] C:\Program Files\MSXML 4.0
[10/01/2008|19:54] C:\Program Files\Native Instruments
[23/11/2001|16:41] C:\Program Files\NetMeeting
[28/11/2001|15:41] C:\Program Files\NetWaiting
[06/12/2001|12:09] C:\Program Files\OfficeUpdate
[23/11/2001|16:39] C:\Program Files\Online Services
[23/11/2001|16:41] C:\Program Files\Outlook Express
[29/11/2001|01:01] C:\Program Files\PixAround.com
[13/12/2005|12:19] C:\Program Files\Real
[01/03/2009|19:31] C:\Program Files\Reference Assemblies
[02/01/2002|15:59] C:\Program Files\Support.com
[21/10/2005|10:33] C:\Program Files\Symantec
[23/11/2001|16:48] C:\Program Files\Uninstall Information
[21/05/2006|14:51] C:\Program Files\VstPlugins
[04/05/2009|18:24] C:\Program Files\Windows Live
[14/11/2006|15:14] C:\Program Files\Windows Media Connect 2
[23/11/2001|16:41] C:\Program Files\Windows Media Player
[23/11/2001|16:39] C:\Program Files\Windows NT
[23/11/2001|16:39] C:\Program Files\WindowsUpdate
[23/11/2001|16:44] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Common Files

[29/11/2001|01:41] C:\Program Files\Common Files\Adobe
[08/05/2009|15:06] C:\Program Files\Common Files\Ahead
[23/11/2001|17:34] C:\Program Files\Common Files\Designer
[21/10/2005|12:25] C:\Program Files\Common Files\Hewlett-Packard
[28/11/2001|15:41] C:\Program Files\Common Files\InstallShield
[12/05/2009|10:44] C:\Program Files\Common Files\logishrd
[10/12/2001|10:17] C:\Program Files\Common Files\MGI Shared
[23/11/2001|16:34] C:\Program Files\Common Files\Microsoft Shared
[23/11/2001|16:41] C:\Program Files\Common Files\MSSoap
[01/03/2009|19:49] C:\Program Files\Common Files\Nero
[23/11/2001|16:34] C:\Program Files\Common Files\ODBC
[29/11/2001|01:05] C:\Program Files\Common Files\PixAround.com
[13/12/2005|12:19] C:\Program Files\Common Files\Real
[23/11/2001|16:41] C:\Program Files\Common Files\Services
[09/02/2009|16:50] C:\Program Files\Common Files\SolidWorks Shared
[23/11/2001|16:34] C:\Program Files\Common Files\SpeechEngines
[21/10/2005|10:39] C:\Program Files\Common Files\Symantec Shared
[23/11/2001|16:41] C:\Program Files\Common Files\System
[21/05/2008|17:21] C:\Program Files\Common Files\WindowsLiveInstaller
[04/02/2006|00:49] C:\Program Files\Common Files\WinFixer 2006

--------------------\\ Process

( 14 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-01 16:59:57
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{068D6928-0D05-4F35-829A-094F340F5E9E}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{8456537D-2163-4889-9DF7-9EE891EA7430}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[b]==> WAREOUT <==/b



[F:5][D:4]-> C:\DOCUME~1\Belgacom\LOCALS~1\Temp
[F:41][D:0]-> C:\DOCUME~1\Belgacom\Cookies
[F:104][D:6]-> C:\DOCUME~1\Belgacom\LOCALS~1\TEMPOR~1\content.IE5
[F:42][D:15]-> C:\Recycled

1 - "C:\Lop SD\LopR_1.txt" - mer. 01/07/2009|17:00 - Option : [2]

--------------------\\ Fin du rapport a 17:00:36

4.
===== Rapport WareOut Removal Tool =====

version 3.2

analyse effectuée le mer. 01/07/2009 à 17:03:18,79

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~


~~~~ Recherche d'infections dans C:\Program Files\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\Belgacom\Application Data\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\Belgacom\Bureau\ ~~~~


~~~~ Recherche de détournement de DNS ~~~~

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters]
NameServer REG_SZ 85.255.113.92 85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{068D6928-0D05-4F35-829A-094F340F5E9E}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4352C025-8FA1-4280-8732-41BCAC6E1057}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{68DE2972-CD05-4576-909F-944F819DFF4C}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{7D94BB20-17AF-4C03-889F-8361E6E98B92}]
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8456537D-2163-4889-9DF7-9EE891EA7430}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{9AA26CAE-96CE-45E1-AAC8-1C18D281F7A9}]
NameServer REG_SZ 85.255.113.92,85.255.112.13
DhcpNameServer REG_SZ 85.255.113.92,85.255.112.13


~~~~ Recherche du Rootkit kd???.exe ~~~~


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



~~~~ Recherche d'infections dans C:\DOCUME~1\Belgacom\LOCALS~1\Temp\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\Belgacom\Start Menu\Programs\ ~~~~


~~~~ Nettoyage du registre ~~~~


~~~~ Tentative de réparation des entrées suivantes: ~~~~

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

~~~~ Vérification: ~~~~

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



_________________________________

développé par http://pc-system.fr
_________________________________

5.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:26, on 1/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Support.com\bin\tgcmd.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
C:\KMaestro\Key_f.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {75cc5f38-a92c-9eea-61ad-83ab1866aedd} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: BestWayToShop - {DFA1F000-B005-5269-BE49-1BA42808CBAA} - C:\Program Files\BestWayToShop\BestWayToShop.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll (file missing)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\Support.com\bin\tgcmd.exe" /server
O4 - HKLM\..\Run: [dmjwk.exe] C:\WINDOWS\system32\dmjwk.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://www.learning-site.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5CE8C9BE-B561-4311-8C03-D6F6C1CAF7E1} (CSND_AX.ctlCSND_AX) - http://www3.compaq.com/support/sndetect/CSND_AX.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/windows/DivXBrowserPlugin.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
0
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 20:05
Dois-je suivre la procédure indiquée par le dernier rapport Genproc?

Merci
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 20:10
Non.

Je suis dessus, je cherche la solution adéquate.
J'ai repéré ton infection, je cherche comment la supprimer.

Tu as fait l'option de suppression avec Smitfraudfix?

Fais ceci en attendant:


1/
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.




2/
Télécharge Malwarebytes' Anti-Malware (MBAM)

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen rapide"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

"L'examen s'est terminé normalement. "

Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs. (Internet Explorer/ Firefox...)
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.



J'attends tes 3 rapports: 2 d'Rsit et 1 d'MBAM.
ainsi que ta réponse sur smitfraud fix
0
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009 > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
1 juil. 2009 à 20:19
Merci de ta réponse

Pour smit fraudfix, je l'ai fait et j'avais posté le rapport mais apparemment il s'est perdu dans les méandres du web puisque je ne le retrouve pas dans mes différents posts...
Si tu sais me dire où le retrouver, je te le renvoie direct.

Par contre, ce n'est pas mon pc (c'est celui de mon père) et je vais bientot devoir partir, donc je n'aurai peut-être pas le temps de tout faire ce soir. J'espère que ça ne posera pas de problème si jms je poste le reste des rapports plus tard mais je vais essayer de faire un maximum maintenant. Je m'y mets direct ;-)

Bien à toi
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 20:23
Ton rapport smitfraudfix doit se trouver ici: C:\rapport.txt

J'espère que ça ne posera pas de problème si jamais je poste le reste des rapports plus tard

Aucun souci. Je suis "là" fréquemment.
:)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
1 juil. 2009 à 20:37
Purée, tu fais la collection...
:)


• Télécharge et installe FindyKill

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci FindyKill présent sur ton bureau .

• Choisis l'option 1 ( Recherche )

• Laisse travailler l'outil.

• Ensuite post le rapport FindyKill.txt qui apparaitra.

• Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. ( C:\FindyKill.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 20:42
Hum hum...apparemment oui je collectionne lol

Il est occupé sur malwarebytes, je laisse tombé pr lancer findykill ou j'attends qu'il ait fini?

Il a trouvé pour le moment 13 éléments infectés et en est à peu près à 20800 éléments analysés.
0
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 20:50
Et voila malware a fini, voila le rapport, je me lance dans la suite des opérations et te tiens au courant ;-)

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2358
Windows 5.1.2600 Service Pack 3

1/07/2009 20:49:10
mbam-log-2009-07-01 (20-49-10).txt

Type de recherche: Examen rapide
Eléments examinés: 93714
Temps écoulé: 11 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\BestWayToShop\BestWayToShop.dll (Adware.PlayMP3z) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\bestwaytoshop.bestwaytoshop (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{a145dee5-5510-df8c-302a-dbb0179d3c90} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4bb4e2f3-ca67-d044-1fbf-4aea23a67610} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{dfa1f000-b005-5269-be49-1ba42808cbaa} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{dfa1f000-b005-5269-be49-1ba42808cbaa} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{dfa1f000-b005-5269-be49-1ba42808cbaa} (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bestwaytoshop.bestwaytoshop.1 (Adware.PlayMP3z) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{418d86be-7386-4f1a-83e0-53604adbda74} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\18e0e146-355e-3018-6c55-055bac8fffcf (Adware.AdRotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\BestWayToShop (Adware.PlayMP3z) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\BestWayToShop\BestWayToShop.dll (Adware.PlayMP3z) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\18e0e146-355e-3018-6c55-055bac8fffcf.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\program files\bestwaytoshop\uninstall.exe (Adware.PlayMP3z) -> Quarantined and deleted successfully.
0
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 21:01
Et voila le rapport findykill...

############################## | FindyKill V6.001 |

# User : Belgacom (Administrators) # YOUR-DK64CTK9VX
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 20:58:13 | 1/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Pentium(R) 4 CPU 1.70GHz
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

# A:\ # 3 1/2 Inch Floppy Drive
# C:\ # Local Fixed Disk # 19,52 Go (7,5 Go free) [BELGACOM] # FAT32
# D:\ # Local Fixed Disk # 17,73 Go (15,57 Go free) [DATA] # FAT32
# E:\ # CD-ROM Disc
# F:\ # CD-ROM Disc
# G:\ # Removable Disk # 1,88 Go (1,88 Go free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\KMaestro\Key_f.EXE
C:\Program Files\Microsoft Office\Office\1033\OLFSNT40.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.be/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Belgacom"
HKLM_logon: "AltDefaultUserName"="Belgacom"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: KeyMaestro=C:\KMaestro\KMaestro.exe
HKLM_Run: GSICONEXE=GSICON.EXE
HKLM_Run: DSLAGENTEXE=dslagent.exe USB
HKLM_Run: tgcmd="C:\Program Files\Support.com\bin\tgcmd.exe" /server
HKLM_Run: dmjwk.exe=C:\WINDOWS\system32\dmjwk.exe
HKLM_Run: AVG8_TRAY=C:\PROGRA~1\AVG\AVG8\avgtray.exe
HKLM_Run: NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: LogitechQuickCamRibbon="C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\KeyMaestro=
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Belgacom\Temporary Internet Files |


################## | All Drives ... |

G:\autorun.inf # -> fichier appelé : "G:\Thunder\FILES\Thund.exe" ( Présent ! )
Présent ! G:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\...\Explorer\MountPoints2\{25263910-7f63-11dd-b48a-0040f432c872}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{25263910-7f63-11dd-b48a-0040f432c872}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{25263910-7f63-11dd-b48a-0040f432c872}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{64f6b9f0-8265-11dd-b48c-0040f432c872}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{64f6b9f0-8265-11dd-b48c-0040f432c872}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f6d72530-7296-11dc-b2cc-0040f432c872}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f6d72530-7296-11dc-b2cc-0040f432c872}\Shell\ouvrir\Command

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.001 ! |
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009
1 juil. 2009 à 21:19
*Vide la quarantaine d'MBAM.


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci FindyKill présent sur ton bureau

• choisis l'option 2 ( Suppression )

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , FindyKill scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport qui apparaitra avec le bureau .

• Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque.(C:\FindyKill.txt)
0
cocuz Messages postés 15 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 17 juillet 2009 > Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015
1 juil. 2009 à 21:27
J'ai vidé la quarantaine mais là, je dois y aller donc je continuerai plus tard.

Il se peut que tu n'aies pas de nouvelles de moi avant la semaine prochaine...mais je ferai au plus vite.

Est-ce qu'il faut éviter d'utiliser internet tant que je n'ai pas fait toutes les analyses?L'utilisation que mon père en a se limite aux mails mais bon si ça risque de fausser les analyses qui restent à faire, dis le moi et je le préviendrai.

En tout cas, merci de ta précieuse aide et bonne fin de soirée ;-)

Cocuz
0
Réponse 6 / 7
mike77340 Messages postés 321 Date d'inscription mercredi 1 juillet 2009 Statut Membre Dernière intervention 10 janvier 2013 29
1 juil. 2009 à 21:32
essaie spybot sear and destroy sa detruit les virus publicitaire et les logiciel publicitaire
0
Réponse 7 / 7
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
21 juil. 2009 à 18:25
Hello,

Peux tu reposter un nouveau rapport Log.txt d'Rsit.
0

Discussions similaires

apparation intempestives de pub type site de rencontre et photo dans le même ton
Crokino -
Crokino -

6 réponses
Candy crush
eric2850 -
MPMP10 -

6 réponses
désactiver un bloqueur de publicité pou voir M6
Claire912 -
e.t -

2 réponses
Message "Un bloqueur de publicité empêche la lecture..."
pistouri -
pistouri -

0 réponse
comment desactiver un bloqueur de pub
amour10 -
MPMP10 -

4 réponses