Sujet Précédent Sujet Suivant

Besoin d'aide pour exterminer un virus

Fermé
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015 - 13 nov. 2009 à 12:46
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 - 8 janv. 2010 à 15:54
Bonjour,

j'ai un soucis de virus qui clic tout seul et me met une fenetre de pub sur mon bureau.

voila le rapport hijakthis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DivX Free Codec] C:\Program Files\DivX Free Codec\Divx Free Update.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [svchost.exe] C:\WINDOWS\system32\sys\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)


merci d'avance pour votre aide
--
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
4 janv. 2010 à 16:27
salut dsl pour le delai mais boulot oblige ^^

puisque la quarantaine de combo n'est plus la il faut retelecharger le fichier qui pose probleme ;)

par contre , je viens de voir une chose qui ne me plait pas dans ton rapport !!

le trouves tu plus long au demarrage ??

peux tu faire ceci :

Télécharge MBR Rootkit Detector (gmer) et enregistre-le sur le bureau

- Désactive provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) :

- Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log ==> Copie/colle le résultat de ce log dans ta réponse.
1
Réponse 2 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
13 nov. 2009 à 12:48
slt

ton rapport n,'est pas complet,



* Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
* Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
* Au menu principal choisi l'option "L" et tape sur [entrée] .
* Laisse travailler l'outil et ne touche à rien ...
* Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 3 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 13:18
salut

est ce normal que ca soit si long.une fois le programme lancé le bureau plante et le scan reste bloqué vers la moitier, j'ai attendu plus de 20 minutes et plus rien ne bouge,on dirais que ca tourne dans le vide.

je fait quoi?
0
Réponse 4 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 13:20
j'ai refait un hijack, voila le rapport complet:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:19:10, on 13/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sys\svchost.exe
C:\DOCUME~1\mandrake\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DivX Free Codec] C:\Program Files\DivX Free Codec\Divx Free Update.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [svchost.exe] C:\WINDOWS\system32\sys\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
13 nov. 2009 à 13:33
bizarre, s'il ne fonctionne pas, essaies ca :

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

* Lance l'installation du programme en exécutant le fichier téléchargé.

sous xp : Double-clique
sous vista : clic doit en tant qu'administrateur

*maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Tape sur "2" puis valide en appuyant sur "Entrée".

! Ne ferme pas la fenêtre lors de la suppression !

Un rapport sera généré, poste son contenu ici.


NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.
 


Ce qu'il faut savoir sur les toolbars (barres d'outils)

0
Réponse 6 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 13:39
ok voila le résultat:


-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz )
BIOS : Default System BIOS
USER : mandrake ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:8 Go)
D:\ (Local Disk) - NTFS - Total:213 Go (Free:8 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 13/11/2009|13:36 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(mandrake) - {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} => flashgot
(mandrake) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_page_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Search bar"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
"Search bar"="http://www.bing.com/spresults.aspx"


--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\mandrake\Application Data\uTorrent\Anno 1404 + Crack (eng).torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\anno.1404.crack.for.windows.7.torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\keygen.exe.torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\TuneUp Utilities 2009 8.0.3300.1 French + Keygen[trackersurfer.fr].torrent
C:\DOCUME~1\mandrake\Recent\aircrack-ng-1.0-win.zip.lnk



1 - "C:\ToolBar SD\TB_1.txt" - 13/11/2009|13:37 - Option : [2]

-----------\\ Fin du rapport a 13:37:40,25

0
Réponse 7 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
13 nov. 2009 à 13:48
Pour optimiser ton pc :

Relances HIJACKTHIS mais cette fois clic sur
DO A SYSTEM SCAN ONLY
puis coches toutes ces lignes (et seulement ces lignes : tu pourrais altérer le fonctionnement de ton pc!)
puis clic sur
FIX CHEKEED et redemarre ton pc

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

ENSUITE

Pour analyser ton pc plus en profondeur : télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 8 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 13:59
ok voila le log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by mandrake at 2009-11-13 13:57:38
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 8 GB (41%) free of 20 GB
Total RAM: 2038 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:43, on 13/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\sys\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\mandrake\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\mandrake.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternative\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [DivX Free Codec] C:\Program Files\DivX Free Codec\Divx Free Update.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [svchost.exe] C:\WINDOWS\system32\sys\svchost.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\Logitech WebCam Software\eReg.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)
0
Réponse 9 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
13 nov. 2009 à 14:07
/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\

Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
0
Réponse 10 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 14:32
ok voila le résultat:

ComboFix 09-11-13.04 - mandrake 13/11/2009 14:25.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2038.1489 [GMT 1:00]
Lancé depuis: c:\documents and settings\mandrake\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\AskSearch\bin\DefaultSearch.dll
c:\windows\system32\Ijl11.dll
c:\windows\system32\sys
c:\windows\system32\sys\svchost.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-13 au 2009-11-13 ))))))))))))))))))))))))))))))))))))
.

2009-11-13 12:57 . 2009-11-13 12:57 -------- d-----w- C:\rsit
2009-11-13 12:35 . 2009-11-13 12:37 -------- d-----w- C:\ToolBar SD
2009-11-13 11:49 . 2009-11-13 12:12 -------- d-----w- c:\program files\Ad-Remover
2009-11-13 11:41 . 2009-11-13 11:41 -------- d-----w- c:\program files\Trend Micro
2009-11-13 11:37 . 2009-11-13 11:37 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-11-12 11:59 . 2009-11-12 11:59 -------- d-----w- c:\documents and settings\mandrake\Application Data\Leadertech
2009-11-12 11:59 . 2009-11-13 12:15 -------- d-----w- c:\documents and settings\All Users\Application Data\LogiShrd
2009-11-12 11:59 . 2009-11-12 11:59 -------- d-----w- c:\program files\Logitech
2009-11-12 11:55 . 2008-04-13 19:45 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys
2009-11-12 11:55 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys
2009-11-12 11:55 . 2009-11-12 11:59 -------- d-----w- c:\program files\Fichiers communs\logishrd
2009-11-07 12:58 . 2009-11-07 12:58 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-11-05 14:46 . 2009-11-05 14:46 152576 ----a-w- c:\documents and settings\mandrake\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-31 14:37 . 2009-10-31 14:37 -------- d-----w- c:\documents and settings\mandrake\Application Data\JGsoft
2009-10-30 16:54 . 2008-04-14 03:33 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll
2009-10-29 08:41 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-10-29 08:41 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-10-29 08:41 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-10-29 08:41 . 2009-10-29 08:41 -------- d-----w- c:\program files\Avira
2009-10-29 08:41 . 2009-10-29 08:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-10-29 07:49 . 2009-10-31 09:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-26 18:58 . 2009-10-26 18:58 -------- d--h--w- c:\windows\PIF
2009-10-23 21:47 . 2009-10-23 21:49 -------- d-----w- c:\documents and settings\mandrake\Local Settings\Application Data\Deployment
2009-10-23 21:39 . 2009-10-23 21:39 -------- d-----w- c:\windows\Sun
2009-10-21 17:32 . 2009-10-21 17:32 -------- d-----w- c:\documents and settings\All Users\Application Data\RedfernPlace
2009-10-21 17:29 . 2009-10-21 17:29 -------- d-----w- c:\program files\Ultrapico
2009-10-21 10:10 . 2009-10-21 10:10 -------- d-----w- c:\windows\system32\XPSViewer
2009-10-21 10:10 . 2009-10-21 10:10 -------- d-----w- c:\program files\MSBuild
2009-10-21 10:10 . 2009-10-21 10:10 -------- d-----w- c:\program files\Reference Assemblies
2009-10-21 10:09 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-10-21 10:09 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-10-21 10:09 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-10-21 10:09 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-10-21 10:09 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-10-21 10:09 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-10-21 10:09 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-10-20 14:32 . 2009-10-20 14:32 -------- d-----w- c:\program files\7-Zip
2009-10-16 09:16 . 2009-11-13 00:17 -------- d-----w- c:\documents and settings\mandrake\Application Data\FileZilla
2009-10-16 09:15 . 2009-10-16 09:15 -------- d-----w- c:\program files\FileZilla FTP Client
2009-10-16 09:06 . 2009-10-16 09:06 -------- d-----w- c:\program files\Capturino V2
2009-10-15 10:00 . 2009-10-15 10:00 -------- d-----w- c:\program files\EasyPHP 3.0

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-13 12:17 . 2009-05-10 16:55 -------- d-----w- c:\documents and settings\mandrake\Application Data\uTorrent
2009-11-05 14:47 . 2009-10-05 14:56 -------- d-----w- c:\program files\Java
2009-11-05 14:47 . 2002-08-30 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-05 14:47 . 2002-08-30 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-02 21:33 . 2009-09-05 12:50 -------- d-----w- c:\documents and settings\mandrake\Application Data\vlc
2009-10-30 16:55 . 2009-10-30 16:55 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf
2009-10-30 16:55 . 2009-10-30 16:55 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-10-21 11:26 . 2009-03-28 02:11 13104 ----a-w- c:\documents and settings\mandrake\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-14 12:41 . 2009-10-14 12:41 322392 ----a-w- c:\windows\system32\wiaaut.dll
2009-10-14 12:40 . 2009-10-14 12:40 296280 ----a-w- c:\documents and settings\All Users\Application Data\LogiShrd\LQCVFX\Filters\VMSEF.dll
2009-10-14 12:37 . 2009-10-14 12:37 6781272 ----a-w- c:\documents and settings\All Users\Application Data\LogiShrd\LQCVFX\Filters\MMSEF.dll
2009-10-11 09:25 . 2009-10-11 09:25 694822 ----a-w- c:\windows\system32\neobuxblocker.exe
2009-10-11 08:40 . 2009-10-11 08:34 102400 ----a-w- c:\windows\system32\Neobux Autoclicker Bot.exe
2009-10-11 03:17 . 2009-10-05 14:57 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-07 00:46 . 2009-10-07 00:46 25752 ----a-w- c:\windows\system32\drivers\LVPr2Mon.sys
2009-10-07 00:25 . 2009-10-07 00:25 85302 ----a-w- c:\windows\system32\drivers\LVFeL102.cfg
2009-10-07 00:25 . 2009-10-07 00:25 69592 ----a-w- c:\windows\system32\drivers\LVFaL100.cfg
2009-10-07 00:25 . 2009-10-07 00:25 227172 ----a-w- c:\windows\system32\drivers\LVFeL100.cfg
2009-10-07 00:25 . 2009-10-07 00:25 146680 ----a-w- c:\windows\system32\drivers\LVFeL101.cfg
2009-10-07 00:23 . 2009-10-07 00:23 13584 ----a-w- c:\windows\system32\drivers\iKeyLFT2.dll
2009-10-06 14:44 . 2009-03-27 00:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-05 14:56 . 2009-10-05 14:56 152576 ----a-w- c:\documents and settings\mandrake\Application Data\Sun\Java\jre1.6.0_16\lzma.dll
2009-10-02 09:34 . 2009-10-02 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Live 8.0.4
2009-10-02 09:34 . 2009-10-02 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Ableton
2009-10-02 09:34 . 2009-10-02 09:34 -------- d-----w- c:\documents and settings\mandrake\Application Data\Ableton
2009-10-02 09:17 . 2009-09-28 12:06 -------- d-----w- c:\documents and settings\All Users\Application Data\VMware
2009-10-01 20:54 . 2009-09-14 09:40 -------- d-----w- c:\program files\Google
2009-10-01 20:08 . 2009-09-28 12:09 -------- d-----w- c:\documents and settings\LocalService\Application Data\VMware
2009-10-01 19:50 . 2009-10-01 19:50 -------- d-----w- c:\program files\Ableton
2009-10-01 18:58 . 2009-10-01 18:55 -------- d-----w- c:\documents and settings\mandrake\Application Data\Propellerhead Software
2009-10-01 18:58 . 2009-10-01 18:58 368640 ----a-w- c:\windows\system32\ReWire.dll
2009-10-01 18:58 . 2009-10-01 18:58 233472 ----a-w- c:\windows\system32\REX Shared Library.dll
2009-10-01 18:55 . 2009-10-01 18:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Propellerhead Software
2009-10-01 18:55 . 2009-10-01 18:55 -------- d-----w- c:\program files\Propellerhead
2009-09-28 20:03 . 2009-09-28 12:16 -------- d-----w- c:\documents and settings\mandrake\Application Data\VMware
2009-09-27 14:29 . 2009-03-30 17:48 -------- d-----w- c:\documents and settings\mandrake\Application Data\dvdcss
2009-09-25 05:36 . 2004-08-19 14:09 671232 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2004-08-19 14:09 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-16 11:25 . 2009-09-16 11:25 -------- d-----w- c:\program files\VirtualDub
2009-09-14 13:34 . 2009-04-18 23:28 -------- d-----w- c:\documents and settings\mandrake\Application Data\Apple Computer
2009-09-14 13:14 . 2009-09-14 13:14 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.0.70\SetupAdmin.exe
2009-09-12 14:30 . 2009-09-12 14:30 620 ----a-w- c:\windows\eReg.dat
2009-09-11 14:18 . 2004-08-19 14:09 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-09 18:01 . 2009-09-09 18:01 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-09-09 18:01 . 2009-09-09 18:01 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-09-04 21:04 . 2004-08-19 14:09 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-09-03 15:40 . 2009-09-03 15:40 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-09-03 07:36 . 2009-09-03 07:36 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-08-26 08:01 . 2004-08-19 14:09 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-27 137752]
"DivX Free Codec"="c:\program files\DivX Free Codec\Divx Free Update.exe" [2007-03-30 274432]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]

c:\documents and settings\mandrake\Menu D‚marrer\Programmes\D‚marrage\
Logitech . Enregistrement du produit.lnk - c:\program files\Logitech\Logitech WebCam Software\eReg.exe [2009-10-14 517384]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\EasyPHP 3.0\\mysql\\bin\\mysqld.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"d:\\Logiciels\\mRatio 2.3.5\\mRatio.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/10/2009 09:41 108289]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contenu du dossier 'Tâches planifiées'

2009-11-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\mandrake\Application Data\Mozilla\Firefox\Profiles\iwjhi1uv.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
FF - component: c:\program files\Real Alternative\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Real Alternative\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real Alternative\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real Alternative\Netscape6\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-WampServer 2_is1 - c:\wamp\unins000.exe
AddRemove-WChat - c:\westwood\WWONLINE\UNINSTWC.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-13 14:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spkz.sys >>UNKNOWN [0x8A575938]<<
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

atapi.sys @ 0x0 0x0 bytes

\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF7978B40 atapi.sys
\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF7978B40 atapi.sys
\Driver\atapi IRP hooks detected !

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-583907252-854245398-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-583907252-854245398-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:0a,b2,5d,1a,f3,4f,2a,d0,c9,85,ee,62,65,c7,09,01,ba,d5,b7,21,a1,
5a,5f,be,fe,a3,cc,4e,ff,b4,6c,fc,d9,9e,61,37,2b,05,8e,12,57,1c,ea,f0,03,4e,\
"rkeysecu"=hex:58,cf,f7,8a,9d,32,78,44,f5,d9,b7,2c,92,3d,18,9f
.
Heure de fin: 2009-11-13 14:30
ComboFix-quarantined-files.txt 2009-11-13 13:30

Avant-CF: 8 502 190 080 octets libres
Après-CF: 9 897 603 072 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 611C88AC66EE660B4CC0FC602D93E2EA
0
Réponse 11 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
13 nov. 2009 à 14:57
il faut que j'epluche ton rapport en profondeur car apparemment il te reste des rootkits, je te prepare la suite et je reviens ;)
0
Réponse 12 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 15:18
merci c'est sympas,
juste un autre truc, quand je redemarre mon ordi j'ai la fenetre divx qui s'ouvre automatiquement,c'est pénible, si y'a moyen d'y faire quelque chose en meme temps ca serait super.
0
Réponse 13 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
13 nov. 2009 à 15:55
• Télécharge SF (de C_XX) sur ton Bureau
• Lance 'SF.exe' en faisant un double clic sur le fichier
• Saisis la valeur recherchée : atapi.sys
• Appuie sur la touche Entrée et patiente pendant la recherche.
• Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp
0
Réponse 14 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
13 nov. 2009 à 18:13
voila la suite:

1. ========================= SF 1.0.0.6 - C_XX | 18:09:06,81
2.
3. Valeur(s) recherchée(s):
4.
5. atapi.sys
6.
7.
8. ========================= Fichier(s)/Dossier(s):
9.
10. "C:\WINDOWS\$NtServicePackUninstall$\atapi.sys"
11. MD5: cdfe4411a69c224bd1d11b2da92dac51 | -----c--- | 03/08/2004 21:59
12.
13. =========================
14.
15. "C:\WINDOWS\ERDNT\cache\atapi.sys"
16. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 | --a------ | 13/04/2008 19:40
17.
18. =========================
19.
20. "C:\WINDOWS\ServicePackFiles\i386\atapi.sys"
21. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 | -----c--- | 13/04/2008 19:40
22.
23. =========================
24.
25. "C:\WINDOWS\system32\drivers\atapi.sys"
26. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 | --------- | 13/04/2008 19:40
27.
28. =========================
29.
30. (!) --- 3 ligne(s) contenant la/les valeur(s) recherchée(s).
31. "C:\Qoobox\SnapShot@2009-11-13_13.29.09.dat"
32. MD5: 2ec7d8c98fc823af6696fbeaaa66b566 | --a------ | 13/11/2009 14:29
33.
34. =========================
35.
36.
37. ========================= Registre:
38.
39.
40.
41. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
42. "ImagePath"="system32\DRIVERS\atapi.sys"
43.
44. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi]
45. "ImagePath"="system32\DRIVERS\atapi.sys"
46.
47. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
48. "ImagePath"="system32\DRIVERS\atapi.sys"
49.
50.
51. ========================= E.O.F | 18:10:29,07
0
Réponse 15 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
14 nov. 2009 à 11:37
Je te conseille vivement de virer tes cracks sinon ce qu'on fait ne sert a rien ;)
C:\DOCUME~1\mandrake\Application Data\uTorrent\Anno 1404 + Crack (eng).torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\anno.1404.crack.for.windows.7.torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\keygen.exe.torrent
C:\DOCUME~1\mandrake\Application Data\uTorrent\TuneUp Utilities 2009 8.0.3300.1 French + Keygen[trackersurfer.fr].torrent
C:\DOCUME~1\mandrake\Recent\aircrack-ng-1.0-win.zip.lnk

on va vérifier un fichier que Combo a virer :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
C:\Qoobox\Quarantine\c:\windows\system32\Ijl11.dll
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
0
Réponse 16 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
29 déc. 2009 à 13:33
salut neo

j'ai un soucis, j'ai choppé un trojan et j'ai lancé combofix pour l'exterminer, ça a bien fonctionné mais bizarement maintenant quand je tente de lancer un fichier avi sur mon autre disque dur le bureau plante et ce réinitialise.

Je ne vois pas trop comment faire avec ce pb.

Peut tu m'aider svp
--
0
Réponse 17 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
29 déc. 2009 à 19:27
salut

1 > voila ce qui arrive quand on abandonne en cours de route une procedure !!! je n'ai jamais dis qu'on avait fini

2 > Pour analyser ton pc :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

0
Réponse 18 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
30 déc. 2009 à 13:19
salut

voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijdS8Nog7.txt

mon antivirus a encore détecté un nouveau cheval de troie, décidément.
0
Réponse 19 / 29
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
31 déc. 2009 à 15:12
* Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
* Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
* Au menu principal choisi l'option "L" et tape sur [entrée] .
* Laisse travailler l'outil et ne touche à rien ...
* Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 20 / 29
mandrke Messages postés 103 Date d'inscription vendredi 19 septembre 2008 Statut Membre Dernière intervention 26 mars 2015
1 janv. 2010 à 11:51
salut et bonne année

Voila le rapport ad-remover:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_C | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 12.11.2009 à 22:02
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:39:15, 01/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: MANDRAKE-DBF1EB | Utilisateur actuel: mandrake
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

.
C:\DOCUME~1\mandrake\APPLIC~1\Mozilla\Firefox\Profiles\iwjhi1uv.default\searchplugins\ask.xml
C:\Program Files\AskSearch
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\DOCUME~1\mandrake\Cookies\mandrake@ask[2].txt

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.6 [fr] *
.
Nom du profil: iwjhi1uv.default (mandrake)
.
(mandrake, prefs.js) Browser.download.dir, C:\Documents and Settings\mandrake\Mes documents\Mes vidéos
(mandrake, prefs.js) Browser.download.lastDir, D:\Manga
(mandrake, prefs.js) Browser.search.defaultenginename, Ask
(mandrake, prefs.js) Browser.search.selectedEngine, Google
(mandrake, prefs.js) Browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
.
(mandrake, prefs.js) EFFACE - Extensions.snipit.chromeURL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1
(mandrake, prefs.js) EFFACE - Extensions.veohsearchrecs.SupportedSites, <?xml version=\1.0\ ?>\r\n<results revision=\1.5.1\>\r\n <sites>\r\n <searchsite MatchesDomain=\google.\ MatchesPath=\/search\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\google.\ MatchesPath=\/search\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\bing.com\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\news.google.com\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\news.google.com\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\youtube.com\ HasInUrl=\search_query=\ SearchQuery=\search_query=\></searchsite>\r\n <searchsite MatchesDomain=\search.yahoo.com\ HasInUrl=\?p=\ SearchQuery=\?p=\></searchsite>\r\n <searchsite MatchesDomain=\search.yahoo.com\ HasInUrl=\&p=\ SearchQuery=\&p=\></searchsite>\r\n <searchsite MatchesDomain=\ask.com\ MatchesPath=\/web\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\ask.com\ MatchesPath=\/web\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\ask.com\ MatchesPath=\/video\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\search.live.com\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\search.msn.com\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\wikipedia.org\ SearchQuery=\?search=\></searchsite>\r\n <searchsite MatchesDomain=\amazon.com\ HasInUrl=\field-keywords=\ SearchQuery=\field-keywords=\></searchsite>\r\n <searchsite MatchesDomain=\amazon.com\ HasInUrl=\&keywords=\ SearchQuery=\&keywords=\></searchsite>\r\n <searchsite MatchesDomain=\bestbuy.com\ HasInUrl=\&st=\ SearchQuery=\&st=\ CannotHaveInUrl=\skuId=\></searchsite>\r\n <searchsite MatchesDomain=\bestbuy.com\ HasInUrl=\&searchterm=\ SearchQuery=\&searchterm=\ CannotHaveInUrl=\skuId=\></searchsite>\r\n <searchsite MatchesDomain=\.aol.\ HasInUrl=\&query=\ SearchQuery=\&query=\></searchsite>\r\n <searchsite MatchesDomain=\.aol.\ MatchesPath=\/search\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\music.yahoo.com\ MatchesPath=\/search\ HasInUrl=\&p=\ SearchQuery=\&p=\></searchsite>\r\n <searchsite MatchesDomain=\walmart.com\ MatchesPath=\/search\ SearchQuery=\search_query=\></searchsite>\r\n <searchsite MatchesDomain=\imdb.com\ MatchesPath=\/find\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\searchservice.myspace.com\ HasInUrl=\&qry=\ SearchQuery=\&qry=\></searchsite>\r\n <searchsite MatchesDomain=\last.fm\ MatchesPath=\/search\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\last.fm\ MatchesPath=\/search\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\ebay.com\ SearchQuery=\_nkw=\></searchsite>\r\n <searchsite MatchesDomain=\craigslist.org\ HasInUrl=\search/\ SearchQuery=\query=\ CannotHaveInUrl=\/ers/\></searchsite>\r\n <searchsite MatchesDomain=\craigslist.org\ HasInUrl=\search/\ SearchQuery=\query=\ CannotHaveInUrl=\/cas/\></searchsite>\r\n <searchsite MatchesDomain=\craigslist.org\ HasInUrl=\search/\ SearchQuery=\query=\ CannotHaveInUrl=\/apa/\></searchsite>\r\n <searchsite MatchesDomain=\craigslist.org\ HasInUrl=\search/\ SearchQuery=\query=\ CannotHaveInUrl=\/stp/\></searchsite>\r\n <searchsite MatchesDomain=\dailymotion.com\ HasInUrl=\/search/\ SearchQuery=\/search/\></searchsite>\r\n <searchsite MatchesDomain=\fancast.com\ HasInUrl=\/search/?s=\ SearchQuery=\?s=\></searchsite>\r\n <searchsite MatchesDomain=\metacafe.com\ HasInUrl=\/tags/\ SearchQuery=\/tags/\></searchsite>\r\n <searchsite MatchesDomain=\search.twitter.com\ HasInUrl=\/search?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\hulu.com\ HasInUrl=\?query=\ SearchQuery=\?query=\></searchsite>\r\n <searchsite MatchesDomain=\cnn.com\ HasInUrl=\/search.jsp\ SearchQuery=\query=\></searchsite>\r\n <searchsite MatchesDomain=\flickr.com\ MatchesPath=\/search\ HasInUrl=\?q=\ SearchQuery=\?q=\></searchsite>\r\n <searchsite MatchesDomain=\flickr.com\ MatchesPath=\/search\ HasInUrl=\&q=\ SearchQuery=\&q=\></searchsite>\r\n <searchsite MatchesDomain=\photobucket.com\ HasInUrl=\/images/\ SearchQuery=\/images/\></searchsite>\r\n <searchsite MatchesDomain=\digg.com\ HasInUrl=\search?s=\ SearchQuery=\search?s=\></searchsite>\r\n <searchsite MatchesDomain=\megavideo.com\ HasInUrl=\?c=search\ SearchQuery=\&s=\></searchsite>\r\n </sites>\r\n\r\n\r\n <browsesites>\r\n <excludedsite Url=\hxxp://www.wikipedia.org/\/>\r\n <excludedsite Url=\hxxp://www.amazon.com/\/>\r\n <excludedsite Url=\hxxp://wikipedia.org/\/>\r\n <excludedsite Url=\hxxp://amazon.com/\/>\r\n <excludedsite Url=\hxxp://www.imeem.com/\/>\r\n <excludedsite Url=\hxxp://www.walmart.com/\/>\r\n <excludedsite Url=\hxxp://www.bestbuy.com/\/>\r\n <excludedsite Url=\hxxp://www.ebay.com/\/>\r\n <excludedsite Url=\hxxp://www.imdb.com/\/>\r\n <excludedsite Url=\hxxp://vids.myspace.com/\/>\r\n <excludedsite Url=\hxxp://new.music.yahoo.com/\/>\r\n <excludedsite Url=\hxxp://www.aol.com/\/>\r\n <excludedsite Url=\hxxp://www.imdb.com/\/>\r\n <excludedsite Url=\hxxp://www.aol.com/main.adp?adp=1\/>\r\n <excludedsite Url=\hxxp://www.bestbuy.com/site/olspage.jsp?type=category&id=cat00000\/>\r\n <excludedsite Url=\hxxp://it.wikipedia.org/wiki/Pagina_principale\/>\r\n <excludedsite Url=\hxxp://fr.wikipedia.org/wiki/Accueil\/>\r\n <excludedsite Url=\hxxp://ja.wikipedia.org/wiki/\/>\r\n <excludedsite Url=\hxxp://es.wikipedia.org/wiki/Wikipedia:Portada\/>\r\n <excludedsite Url=\hxxp://en.wikipedia.org/wiki/Portal:Contents\/>\r\n <excludedsite Url=\hxxp://en.wikipedia.org/wiki/Main_Page\/>\r\n <excludedsite Url=\hxxp://de.wikipedia.org/wiki/Hauptseite\/>\r\n <excludedsite Url=\hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite\/>\r\n <excludedsite Url=\hxxp://i.media-imdb.com/3pads/kanoodle-title-sky.html\/>\r\n <excludedsite Url=\hxxp://i.media-imdb.com/3pads/kanoodle-name-sky.html\/>\r\n\r\n <browsesite MatchesDomain=\www.google.com\ HasInUrl=\#hl=\>\r\n <PageQuery><![CDATA[ try { var nFind = objTab.url.indexOf'=Google+Search' ifnFind == -1 { nFind = objTab.url.indexOf'=Google Search' } ifnFind != -1 { var split = objTab.url.substringobjTab.url.indexOf'&q='+3 split = split.substring0,split.indexOf'&' this.m_objCurrentDocument.location.replace'hxxp://www.google.com/search?q=' + split } }catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\wikipedia.org\ CannotHaveInUrl=\Main_Page\>\r\n <PageQuery><![CDATA[try{ifobjTab.parts.path.indexOf':' < 0{strQuery = objVVCTabManager.GetTabKeywordsobjTab,1.toString}}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\amazon.com\ CannotHaveInUrl=\homepage.html\ HasInUrl=\?\>\r\n <PageQuery><![CDATA[try{var metaTags = objTab.document.getElementsByTagName'META'for var i=0 i<metaTags.length ++i {if metaTags[i].name.toLowerCase == 'keywords' {var delimIndex = metaTags[i].content.indexOf','if delimIndex > 0 {strQuery = strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf''}}} }catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\imeem.com\ CannotHaveInUrl=\/video/\ HasInUrl=\/tag/\>\r\n <PageQuery><![CDATA[try{split = objTab.url.toString.split'/tag/'split = split[1].split'/'strQuery=split[0]}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\imeem.com\ CannotHaveInUrl=\/video/\ HasInUrl=\/artists/\>\r\n <PageQuery><![CDATA[ try {var metaTags = objTab.document.getElementsByTagName'META'for var i=0 i<metaTags.length ++i {if metaTags[i].name.toLowerCase == 'keywords' {var delimIndex = metaTags[i].content.indexOf','if delimIndex > 0 {strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}}ifstrQuery.toLowerCase=='browse'strQuery=''}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\imeem.com\ CannotHaveInUrl=\/video/\ HasInUrl=\/music/\>\r\n <PageQuery><![CDATA[ try {var metaTags = objTab.document.getElementsByTagName'META'for var i=0 i<metaTags.length ++i {if metaTags[i].name.toLowerCase == 'keywords' {var delimIndex = metaTags[i].content.indexOf','if delimIndex > 0 {strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}}ifstrQuery.toLowerCase=='browse'strQuery=''}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\music.yahoo.com\ CannotHaveInUrl=\/videos/\>\r\n <PageQuery><![CDATA[ try {var metaTags = objTab.document.getElementsByTagName'META'for var i=0 i<metaTags.length ++i {if metaTags[i].name.toLowerCase == 'keywords' {var delimIndex = metaTags[i].content.indexOf','if delimIndex > 0 { strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}}}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\walmart.com\ HasInUrl=\?product_id=\ MainPageUrl=\hxxp://www.walmart.com/\>\r\n <PageQuery><![CDATA[ try {var metaTags = objTab.document.getElementsByTagName'META'for var i=0 i<metaTags.length ++i {if metaTags[i].name.toLowerCase == 'keywords' {var delimIndex = metaTags[i].content.indexOf','if delimIndex > 0 {strQuery = metaTags[i].content.substring0, delimIndexifstrQuery.indexOf':' > 0 strQuery = strQuery.substring0,strQuery.indexOf':'ifstrQuery.indexOf'' > 0 strQuery = strQuery.substring0,strQuery.indexOf'' }}} }catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\bestbuy.com\ CannotHaveInUrl=\skuId=\>\r\n <PageQuery><![CDATA[try{var titleTags=objTab.document.getElementsByTagName'title'iftitleTags.length>0{strQuery=titleTags[0].textvar split=strQuery.split'- BestBuy'ifsplit.length>1{strQuery=split[0]split=strQuery.split':'ifsplit.length>1{strQuery=split[1]}}}strQuery=strQuery.replace/^\s+|\s+$/g,''}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\music.aol.com\>\r\n <PageQuery><![CDATA[try{strQuery=objVVCTabManager.GetTabKeywordsobjTab,1.toString}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\imdb.com\ HasInUrl=\title\ CannotHaveInUrl=\/doubleclick/\>\r\n <PageQuery><![CDATA[ try {var metaTags = objTab.document.getElementsByTagName'META'forvar i=0 i<metaTags.length ++i{ifmetaTags[i].name.toLowerCase == 'title'{var content = metaTags[i].content.replace/^\s+|\s+$/g, ''var delimIndex = content.indexOf','ifdelimIndex > 0{strQuery = content.substring0,delimIndex}else ifcontent.length > 0{strQuery = content}strQuery = strQuery.replace/\.*\/g, ''break} }}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\imdb.com\ HasInUrl=\name\ CannotHaveInUrl=\/doubleclick/\>\r\n <PageQuery><![CDATA[ try {var metaTags = objTab.document.getElementsByTagName'META'forvar i=0 i<metaTags.length ++i{ifmetaTags[i].name.toLowerCase == 'title'{var content = metaTags[i].content.replace/^\s+|\s+$/g, ''var delimIndex = content.indexOf','ifdelimIndex > 0{strQuery = content.substring0,delimIndex}else ifcontent.length > 0{strQuery = content}strQuery = strQuery.replace/\.*\/g, ''break}} }catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\imdb.com\ HasInUrl=\/Sections/Genres/\>\r\n <PageQuery><![CDATA[ try {var split = objTab.parts.path.split'/'strQuery = split[3]}catche{}]]></PageQuery>\r\n </browsesite>\r\n <browsesite MatchesDomain=\last.fm\ HasInUrl=\/music/\>\r\n <PageQuery><![CDATA[ try{var split = objTab.parts.path.split'/'ifsplit.length>1strQuery = split[2]}catche{}]]></PageQuery>\r\n </browsesite>\r\n </browsesites>\r\n \r\n <fallback>\r\n <replace url=\hxxp://gdata.youtube.com/feeds/api/videos?start-index=1&max-results=50&v=2&format=5&q=\>\r\n <replaceid>BF4C0C4D-1219-409d-886F-436D68306B7B</replaceid>\r\n <replaceframe>veohrecs_fr</replaceframe>\r\n </replace>\r\n </fallback>\r\n</results>\r\n\r\n\r\n\r\n
(mandrake, prefs.js) EFFACE - Keyword.URL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
.
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\mandrake\Application Data\uTorrent\Anno 1404 + Crack (eng).torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\anno.1404.crack.for.windows.7.torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\keygen.exe.torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\TuneUp Utilities 2009 8.0.3300.1 French + Keygen[trackersurfer.fr].torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows Genuine Advantage Validation v1.9.9.1 (WGA) CRACKED.torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\WINDOWS XP KEYGEN+VALIDATION PACK.rar.torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows XP Pro Keygen.torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows.Genuine.Advantage.Validation.v1.9.0040.0.CRACKED-DS9.torrent
C:\Documents and Settings\mandrake\Application Data\uTorrent\Windows.Genuine.Advantage.Validation.v1.9.9.1.CRACKED-iND.torrent
.
===================================
.
16516 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
11 Fichier(s) - C:\DOCUME~1\mandrake\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
.
36 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
3 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 11:44:49 | 01/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses