Infection de partout

KaNyBaL Messages postés 10 Statut Membre -  
KaNyBaL Messages postés 10 Statut Membre -
Voilà le scan du pc en question :

Logfile of HijackThis v1.99.1
Scan saved at 14:58:32, on 08/21/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\NavNT\DefWatch.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDClient\QIPCLNT.EXE
C:\LDClient\tmcsvc.exe
C:\notes\ntmulti.exe
C:\Program Files\NavNT\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\wuser32.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\LDCLIENT\SDISTHK.EXE
C:\WINNT\Explorer.EXE
C:\LDClient\SOFTMON.EXE
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Pfrmuu\Xikm.exe
C:\Program Files\WinFixer 2005\wfx5.exe
C:\program files\180searchassistant\salm.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\program files\internet explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\mIRC\mirc.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
D:\Mes images\iMeshV5.exe
C:\program files\internet explorer\iexplore.exe
D:\Mes images\HijackThis.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\Program Files\HbTools\Bin\4.6.2.0\HbtSrv.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe
C:\program files\internet explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\LDCLIENT\SDISTHK.EXE,C:\LDClient\SOFTMON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s /bw=WAN
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe
O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess
O4 - Global Startup: Exécution de la tâche.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Prise d'inventaire.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://misoaa.lagardre-active.com
O15 - Trusted Zone: http://misprj.lagardre-active.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17f2554183853cc6e405/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab
O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: NameServer = 193.252.19.3,192.252.19.4
O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDClient\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel QIP Client Service - LANDesk® Software Ltd. - C:\LDClient\QIPCLNT.EXE
O23 - Service: Intel Targeted Multicast - LANDesk® Software Ltd. - C:\LDClient\tmcsvc.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\notes\ntmulti.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\Rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Intel Remote Control Service (Wuser32) - LANDesk® Software Ltd. - C:\LDClient\wuser32.exe

Ca a l'air bourré de spys :s
De + j'ai la toolbar google dans IE qui bloque les popups, mais certains genre Winfixer etc s'affichent quand meme.
Help plz :(

9 réponses

  1. Utilisateur anonyme
     
    Bonjour,

    Avant de commencer, oemji tu t en sers, c est toi qui l utilise volontairement? si oui ne coche pas ce qui se rapporte a lui si dessou(je te les mets en gras)

    Méthode a suivre dans l'ordre...
    ----------------------------------------------------------------------------
    ¤Télécharge ces logiciels mais que tu n utilises pas tout de suite:

    1/Spybot S&D 1.4 <<nouvelle version
    http://www.safer-networking.org/fr/index.html

    Démo d utilisation (merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2/Ad-Aware SE 1.06 <<nouvelle version
    http://www.lavasoftusa.com/software/adaware/
    -Une aide:
    http://www.tutopat.com/viewtopic.php?t=1191
    - installe le patch français, tu pourra le trouver ici:
    http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
    et une petite vidéo ici d'utilisation:(merci a Moe31 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3/Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci a Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ----------------------------------------------------------------------------
    ¤Démarre en mode sans échec :
    Pour cela, tu tapote la touche F8 des le début de l allumage du pc sans t arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as télécharger avant)
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    ----------------------------------------------------------------------------
    ¤Relance Hijack This, coche les cases devant ces lignes et ensuite click sur fix checked :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html


    O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\salmhook.dll

    O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

    O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem303.dll

    O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho13.dll

    O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll

    O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)

    O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll

    O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll

    O4 - HKLM\..\Run: [spsrgn] C:\WINNT\spsrgn.exe

    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe

    O4 - HKLM\..\Run: [ywrb5Tb] C:\WINNT\barou.exe

    O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

    O4 - HKLM\..\Run: [Zqoocg] C:\Program Files\Pfrmuu\Xikm.exe

    O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe

    O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe

    O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe

    O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe

    O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

    O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe

    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

    O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\e2\LOCALS~1\Temp\bundle_cdt1006.exe run

    O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1042.dll,InstantAccess

    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind13.dll (file missing)

    O15 - Trusted Zone: http://misoaa.lagardre-active.com

    O15 - Trusted Zone: http://misprj.lagardre-active.com

    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

    O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_glob.exe

    O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBcmNXAy44qd730urhF.chm::/on-line.exe

    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c5.cab

    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab
    O16 - DPF: {83252F41-71B7-492E-8B2E-A68AA3E301E7} (Ulysse Class) - http://htmldialer.parisvoyeur.com/CABSPOLY/cd/1,0,3,8/fr/Penelope.cab
    O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
    O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

    O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://misoaa.lagardere-active.com:8000/jinitiator/oajinit.exe

    O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) -
    http://www.advnt01.com/dialer/internazionale_ver4.CAB

    O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB

    O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_FR.cab
    O16 - DPF: {C9269872-E3D6-4811-8E5E-835CA8CBD0B3} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1042_FR_XP.cab

    O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB

    O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

    O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv

    O17 - HKLM\System\CS1\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv

    O17 - HKLM\System\CS2\Services\Tcpip\..\{2EB760E2-FB5E-4B00-918E-BE120380210D}: Domain = siege.la.priv

    O18 - Filter: text/html - {E8D8871B-C66C-4625-B3BB-18A181239677} - C:\Documents and Settings\e2\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
    ---------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si present)

    c:\program files\180searchassistant
    C:\Program Files\HbTools
    C:\Program Files\SideFind
    C:\Program Files\Oemji
    C:\Program Files\ISTbar
    C:\WINNT\spsrgn.exe
    C:\Program Files\ISTsvc
    C:\WINNT\barou.exe
    C:\Program Files\Power Scan
    C:\Program Files\Pfrmuu
    C:\Program Files\ErrorGuard
    C:\Program Files\WinFixer 2005
    C:\Program Files\Media Gateway
    "C:\Program Files\Internet Optimizer
    ----------------------------------------------------------------------------
    En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"

    - Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !

    HKEY_LOCAL_MACHINE
    Objet : software\microsoft\windows\currentversion\uninstall\instant access
    Valeur : UninstallString

    HKEY_LOCAL_MACHINE
    Objet : software\microsoft\windows\currentversion\uninstall\instant access
    Valeur : DisplayName

    HKEY_LOCAL_MACHINE
    Objet : software\microsoft\windows\currentversion\uninstall\instant access

    - Si vous trouvez également le fichier navpmc à cet endroit vous le supprimez également.

    - Ensuite vous supprimez tous les raccourcis vers "instant access"
    ----------------------------------------------------------------------------
    ¤ Passe adaware et vire tous se qu il trouve
    ----------------------------------------------------------------------------
    ¤ Passe spybot et vire tous se qu il trouve
    ----------------------------------------------------------------------------
    > Tu vide ta poubelle et tu redémarre en mode normal et refait un Hijack

    Précise tes soucis si il en restes....

    Tiens moi au courant

    a+
    0
  2. KaNyBaL Messages postés 10 Statut Membre
     
    Merci ! Merci beaucoup Regis59 !
    J'ai (partiellement) fait ce que tu m'as dis sur le pc en question, car manque de temps ...
    ET CA MARCHE !!!
    Je recommencerais demain à cocher les quelques lignes non accomplies suivant ta methode, et je te copierai le log Hijackthis si ça ne te derange pas.
    Par contre, du PC où je suis (le mien), j'ai un autre petit probleme.
    Hier soir en cliquant sur une banniere, je me suis retrouvé sur un site, ensuite redirigé sur un site de phreakers. Là rien de grave (c'est leur droit d'emmerder France Telecom ..), jusqu'à c'qu'une alerte de Norton me signale un virus, que je n'ai pas eu le temps de suppr.
    Le PC a redémarré à mon insu, certainement trojanté.
    Rien de suspect ne s'est manifesté jusqu'à ce que je veuille imprimer un document .txt (ton rapport sur le hijackthis en fait).
    Et là, lors de l'impression, c'est le drame :
    Nouvelle alerte, me signalant que le fichier C:\windows\TEMP\~EMF1160.TMP est infecté par Bloodhound.Exploit.6
    A la vue du mot Exploit j'ai commencé à m'inquiéter.
    Aussi est apparu un nouveau processus dans mon gestionnaire des taches : Hpzstatx.
    J'ai vu sur un forum qu'il se situait dans le dossier System.
    J'ai donc killé le processus, puis supp Hpzstatx.exe dans C:\windows\system. Mais cela ne resoud pas mon probleme de Bloodhount.Exploit.6
    (je m'en vais de ce pas faire un scan en ligne sur secuser et ravantivirus)
    Si tu en sais un peu + que moi sur ce virus, pourrais-tu m'aider stp ?
    Merci encore de m'avoir guidé pour la desinfection du pc "parental" :)
    0
  3. KaNyBaL Messages postés 10 Statut Membre
     
    PS : (oemji ma mere ne savait meme pas où elle l'a dégoté, je l'ai donc viré via Hijackthis puis des repertoires appropriés dans le lecteur C)
    0
  4. Utilisateur anonyme
     
    re,
    pour le log j ai analyser pas de soucis, continue et remet s en un apres

    pour l autre utilise clean up (tu as le lien en 3/ au dessu) puis met un hijack this aussi

    tu vois?

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    attention regis explique bien quand tu dit de suppr dans le registre que c est pas la clef a suppr mais la valeur
    0
  7. KaNyBaL Messages postés 10 Statut Membre
     
    Euh là, j'ai peut etre fait une betise ...
    Mais je n'ai suppr que les dossiers portant le nom de ces trojs/spys (OemjiSearchPlus, HbTools, etc ..)

    Je vais poster le Hijackthis de MON pc dans un autre sujet où j'expliquerai mon probleme avec le virus Bloodhound.Exploit.6
    Histoire de ne pas mélanger le pbm des 2 ordis et d'avoir (peut-etre) l'explication d'une personne connaissant ce virii.
    0
  8. Utilisateur anonyme
     
    C est cette partie ci que balltrap fait reference
    En "mode sans échec" (soit par redémarrage+touche F8 ou par la commande "msconfig" et là vous cochez "Safeboot" dans "BOOT.INI"

    - Une fois en mode sans échec tu click sur démarrer, puis "exécuter" et tapez "regedit"... là vous vous faites le chemin suivant : HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run :Instant Access REG_SZ rundll32.exe EGDHTM_1024.dll,Instant Access et vous supprimez !

    HKEY_LOCAL_MACHINE
    Objet : software\microsoft\windows\currentversion\uninstall\instant access
    Valeur : UninstallString

    HKEY_LOCAL_MACHINE
    Objet : software\microsoft\windows\currentversion\uninstall\instant access
    Valeur : DisplayName

    HKEY_LOCAL_MACHINE
    Objet : software\microsoft\windows\currentversion\uninstall\instant access

    En effet ne supprime pas la clé entiere mais uniquement la valeur ! (je pense que t etais pas neuneu pour comprendre ca lol)
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    il faut virer pour celle ci a partir de la instant access
    0
  10. KaNyBaL Messages postés 10 Statut Membre
     
    Euh si :s
    Je ne connais l'existence de l'éditeur de registre que depuis hier, et je n'ai donc pas tout bien assimilé.. enfin, autant dire directement que j'ai supprimé les clés entieres ..
    Mais ça n'a pas l'air d'avoir causé de défaillance, heureusement.
    0