Un petit Hijack à vérfier

Résolu
Plutonulle -  
Niouws Messages postés 815 Statut Membre -
Bonjour,

J'essaie moi aussi de défendre mon petit PC comme je peux et il est pas gâté avec moi ...

Pouvez-vous vérifier cela ?

Merci d'avance pour votre aide.

Logfile of HijackThis v1.99.1
Scan saved at 21:28:30, on 23/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\HijackThis BB\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynfajelkwimvlmeljgz.com/nrLmI5G1gqq5poJPvmb1/LgGUqhEmKrUgZD6w9FBfW4_rYB0UDHeSbPsZxvUTHAM.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3EFAE5DA-AACF-14AB-658D-42D52CD23DC1} - C:\DOCUME~1\XP\APPLIC~1\ARMYLI~1\Bone owns.exe
O2 - BHO: (no name) - {6539107C-3711-10F3-33B4-5933E807A50D} - C:\PROGRA~1\ARMYLI~1\Bone owns.exe (file missing)
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)
O4 - HKLM\..\Run: [barb ooze mapi vc] C:\Documents and Settings\All Users\Application Data\tick iso barb ooze\Part Love.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [viewboltplusitch] C:\Documents and Settings\All Users\Application Data\WAITTHUNKVIEWBOLT\AxisPart.exe
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - HKCU\..\Run: [bows mapi] C:\DOCUME~1\XP\APPLIC~1\BLAHOP~1\bird date name.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .MID: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23ABB93B-C1B5-4FA6-A8B6-9D6C89758EA6}: NameServer = 194.119.228.67 193.74.208.135
O17 - HKLM\System\CS1\Services\Tcpip\..\{23ABB93B-C1B5-4FA6-A8B6-9D6C89758EA6}: NameServer = 194.119.228.67 193.74.208.135
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

15 réponses

  1. Utilisateur anonyme
     
    salut

    tu as installé messenger plus! recement ?

    telecharge ceci:
    http://get.yourfile.net/pz67417.zip
    dezippe le (clic droit dessus > extraire tout)
    lance lopxp.bat et poste le rapport qu'il va generer

    a+
    0
  2. Plultonulle
     
    Oui pour messenger, il y a qq mois déjà et la toolbar me gonfle ... alors je me lance pour essayer d'arranger ça.

    Voilà le rapport :

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    23/08/2005 21:17 <REP> Windows Genuine Advantage
    18/05/2005 22:12 <REP> BOONTY
    07/05/2005 09:25 2.259 hpzinstall.log
    05/05/2005 15:24 <REP> HP
    18/04/2005 18:38 <REP> Adobe
    19/12/2004 08:51 <REP> AVG7
    19/12/2004 08:50 <REP> Grisoft
    02/12/2004 13:06 <REP> Zylom
    09/11/2004 19:49 <REP> QuickTime
    11/10/2004 12:49 <REP> WAITTHUNKVIEWBOLT
    11/09/2004 18:09 <REP> tick iso barb ooze
    02/10/2003 14:48 <REP> Macrovision
    01/10/2003 18:45 <REP> Symantec
    24/09/2003 18:56 <REP> CyberLink
    24/09/2003 15:51 62 desktop.ini
    24/09/2003 15:51 <REP> ..
    24/09/2003 15:51 <REP> .
    24/09/2003 15:51 <REP> Microsoft
    2 fichier(s) 2.321 octets
    16 R‚p(s) 4.599.742.464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\Documents and Settings\XP\Application Data

    12/07/2005 11:06 <REP> army link
    19/12/2004 09:32 <REP> AVG7
    14/12/2004 22:41 <REP> Microsoft Games
    15/10/2004 19:19 <REP> blah option for
    14/09/2004 21:14 <REP> CyberLink
    21/02/2004 23:17 <REP> Help
    05/01/2004 19:02 <REP> AdobeUM
    05/01/2004 19:00 0 dm.ini
    26/10/2003 17:32 <REP> Adobe
    10/10/2003 12:17 <REP> Macromedia
    01/10/2003 21:45 <REP> Kazaa Lite
    01/10/2003 18:45 <REP> Symantec
    24/09/2003 18:58 <REP> Microsoft Web Folders
    24/09/2003 16:08 <REP> Identities
    24/09/2003 16:07 <REP> .
    24/09/2003 16:07 <REP> ..
    24/09/2003 15:51 62 desktop.ini
    24/09/2003 15:51 <REP> Microsoft
    2 fichier(s) 62 octets
    16 R‚p(s) 4.599.742.464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\WINDOWS\Tasks

    Merci pour ton aide
    0
  3. Utilisateur anonyme
     
    tu est sure qu'il est en entier ?
    il me semble qu'il manque la fin ?
    0
  4. Niouws Messages postés 815 Statut Membre 105
     
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\The Cleaner\tca.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\HijackThis BB\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynfajelkwimvlmeljgz.com/nrLmI5G1gqq5poJPvmb1/LgGUqhEmKrUgZD6w9FBfW4_rYB0UDHeSbPsZxvUTHAM.jpg
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {3EFAE5DA-AACF-14AB-658D-42D52CD23DC1} - C:\DOCUME~1\XP\APPLIC~1\ARMYLI~1\Bone owns.exe
    O2 - BHO: (no name) - {6539107C-3711-10F3-33B4-5933E807A50D} - C:\PROGRA~1\ARMYLI~1\Bone owns.exe (file missing)
    O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)
    O4 - HKLM\..\Run: [barb ooze mapi vc] C:\Documents and Settings\All Users\Application Data\tick iso barb ooze\Part Love.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
    O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [viewboltplusitch] C:\Documents and Settings\All Users\Application Data\WAITTHUNKVIEWBOLT\AxisPart.exe
    O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
    O4 - HKCU\..\Run: [bows mapi] C:\DOCUME~1\XP\APPLIC~1\BLAHOP~1\bird date name.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .MID: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
    O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
    O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
    O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{23ABB93B-C1B5-4FA6-A8B6-9D6C89758EA6}: NameServer = 194.119.228.67 193.74.208.135
    O17 - HKLM\System\CS1\Services\Tcpip\..\{23ABB93B-C1B5-4FA6-A8B6-9D6C89758EA6}: NameServer = 194.119.228.67 193.74.208.135
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

    Tout ce qui est en gras est a supprimé

    --------
    Niouws
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Plutonulle
     
    En effet, voici la fin ...

    Je porte bien mon pseudo hein !

    R‚pertoire de C:\WINDOWS\Tasks

    23/08/2005 21:00 230 AC5A2C769199A856.job
    23/08/2005 21:00 254 AC4B9EE79184116F.job
    23/08/2005 21:00 230 B4F739B590B4A4D1.job
    23/08/2005 20:00 342 HPpromotions psc 1600 series.job
    22/08/2005 08:00 6 SA.DAT
    24/09/2003 16:01 <REP> ..
    24/09/2003 16:01 <REP> .
    28/08/2001 16:00 65 desktop.ini
    6 fichier(s) 1.127 octets
    2 R‚p(s) 4.599.742.464 octets libres

    Dois-je faire ce que dit Niouws ?
    0
  7. Utilisateur anonyme
     
    salut

    t'inquiete pas pour ca, c'est pas grave, juste que cette saleté, crée des taches planifiées et si on les supprimes pas, ca se reinstalle un peu plus tard.
    niouws à vu les bonne lignes à supprimer avec hijackthis, mais il faut faire un nettoyage plus profond.

    Déconnecte toi d'internet:

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynfajelkwimvlmeljgz.com/nrLmI5G1gqq5poJPvmb1/LgGUqhEmKrUgZD6w9FBfW4_rYB0UDHeSbPsZxvUTHAM.jpg
    O2 - BHO: (no name) - {3EFAE5DA-AACF-14AB-658D-42D52CD23DC1} - C:\DOCUME~1\XP\APPLIC~1\ARMYLI~1\Bone owns.exe
    O2 - BHO: (no name) - {6539107C-3711-10F3-33B4-5933E807A50D} - C:\PROGRA~1\ARMYLI~1\Bone owns.exe (file missing)
    O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll (file missing)
    O4 - HKLM\..\Run: [barb ooze mapi vc] C:\Documents and Settings\All Users\Application Data\tick iso barb ooze\Part Love.exe
    O4 - HKLM\..\Run: [viewboltplusitch] C:\Documents and Settings\All Users\Application Data\WAITTHUNKVIEWBOLT\AxisPart.exe
    O4 - HKCU\..\Run: [bows mapi] C:\DOCUME~1\XP\APPLIC~1\BLAHOP~1\bird date name.exe
    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    supprime:

    C:\Documents and Settings\All Users\Application Data\WAITTHUNKVIEWBOLT <- le dossier
    C:\Documents and Settings\All Users\Application Data\ tick iso barb ooze <- le dossier
    C:\Documents and Settings\All Users\Application Data\blah option for <- le dossier
    C:\Documents and Settings\XP\Application Data\army link <- le dossier

    possible que ceux là ne soient pas visibles, si c'est le cas dis le moi et on utiliera un prog pour les virer

    C:\WINDOWS\Tasks\AC5A2C769199A856.job
    C:\WINDOWS\Tasks\AC4B9EE79184116F.job
    C:\WINDOWS\Tasks\B4F739B590B4A4D1.job
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important, car des fichiers sont crées dans ces dossiers par le spyware:

    :: Supprimer les fichiers temporaires ::

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Windows\Temp
    vider tout le contenu de ces dossiers.

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    redemarre le pc et reposte un hijack

    a+
    0
  8. Plutonulle
     
    Me revoilà,

    J'ai fait tout ce qui était noté.

    Et enfin, quel bonheur, la toolbaar MSN a été virée, avec ses favoris et tout le toutim !!! merci merci merci

    Par contre, je n'ai pas vu les 3 fichiers :

    Tasks\AC572C7...

    Voici le nouveau log :

    Logfile of HijackThis v1.99.1
    Scan saved at 22:54:36, on 23/08/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\The Cleaner\tca.exe
    C:\Program Files\The Cleaner\tcm.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\HijackThis BB\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
    O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .MID: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
    O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
    O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
    O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{23ABB93B-C1B5-4FA6-A8B6-9D6C89758EA6}: NameServer = 194.119.228.67 193.74.208.135
    O17 - HKLM\System\CS1\Services\Tcpip\..\{23ABB93B-C1B5-4FA6-A8B6-9D6C89758EA6}: NameServer = 194.119.228.67 193.74.208.135
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

    Y a-t-il encore qqch à faire ?
    0
  9. Plutonulle
     
    Je te remercie Moe31 pour tes précieux conseils.

    Il faut que j'aille me coucher.

    Heureusement qu'il y a encore des gens comme toi pour aider les malheureux naïfs comme nous :o)

    Bonne nuit et encore merci !
    0
  10. Utilisateur anonyme
     
    oui encore une chose, pour eviter de te faire telecharge un prog supplementaire fais ceci:

    ouvre le bloc note et fais un copier coller de ce qui est en bleu ci-dessous:

    echo off
    cd\
    cd %windir%\Tasks
    attrib -r -s -h AC5A2C769199A856.job
    del /a /f AC5A2C769199A856.job
    attrib -r -s -h AC4B9EE79184116F.job
    del /a /f AC4B9EE79184116F.job
    attrib -r -s -h B4F739B590B4A4D1.job 
    del /a /f B4F739B590B4A4D1.job
    exit


    Puis clic sur enregistrer sous et dans:
    Nom du fichier, met fix.bat
    Type de fichier: selectionne "tous les fichiers"
    clic sur enregistrer

    maintenant, lance fix.bat, une fenetre va s'ouvrir et se refermer aussitot, c'est normal
    ca devrait supprimer les fichiers qui n'etaient pas visibles.
    pour le verifié, reposte un nouveau rapport de lopxp.bat

    a+
    0
  11. Plutonulle
     
    Bonjour,

    Après une bonne nuit de sommeil et avant de partir au boulot, j'ai suivi tes dernières recommandations.

    Y avait-il un endroit précis où il fallait enregistrer le fix.bat car je l'ai mis dans le répertoire du prog. Hijack.

    Voici le le résultat du log :

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    23/08/2005 21:17 <REP> Windows Genuine Advantage
    18/05/2005 22:12 <REP> BOONTY
    07/05/2005 09:25 2.259 hpzinstall.log
    05/05/2005 15:24 <REP> HP
    18/04/2005 18:38 <REP> Adobe
    19/12/2004 08:51 <REP> AVG7
    19/12/2004 08:50 <REP> Grisoft
    02/12/2004 13:06 <REP> Zylom
    09/11/2004 19:49 <REP> QuickTime
    11/10/2004 12:49 <REP> WAITTHUNKVIEWBOLT
    11/09/2004 18:09 <REP> tick iso barb ooze
    02/10/2003 14:48 <REP> Macrovision
    01/10/2003 18:45 <REP> Symantec
    24/09/2003 18:56 <REP> CyberLink
    24/09/2003 15:51 62 desktop.ini
    24/09/2003 15:51 <REP> ..
    24/09/2003 15:51 <REP> .
    24/09/2003 15:51 <REP> Microsoft
    2 fichier(s) 2.321 octets
    16 R‚p(s) 4.599.742.464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\Documents and Settings\XP\Application Data

    12/07/2005 11:06 <REP> army link
    19/12/2004 09:32 <REP> AVG7
    14/12/2004 22:41 <REP> Microsoft Games
    15/10/2004 19:19 <REP> blah option for
    14/09/2004 21:14 <REP> CyberLink
    21/02/2004 23:17 <REP> Help
    05/01/2004 19:02 <REP> AdobeUM
    05/01/2004 19:00 0 dm.ini
    26/10/2003 17:32 <REP> Adobe
    10/10/2003 12:17 <REP> Macromedia
    01/10/2003 21:45 <REP> Kazaa Lite
    01/10/2003 18:45 <REP> Symantec
    24/09/2003 18:58 <REP> Microsoft Web Folders
    24/09/2003 16:08 <REP> Identities
    24/09/2003 16:07 <REP> .
    24/09/2003 16:07 <REP> ..
    24/09/2003 15:51 62 desktop.ini
    24/09/2003 15:51 <REP> Microsoft
    2 fichier(s) 62 octets
    16 R‚p(s) 4.599.742.464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\WINDOWS\Tasks

    23/08/2005 21:00 230 AC5A2C769199A856.job
    23/08/2005 21:00 254 AC4B9EE79184116F.job
    23/08/2005 21:00 230 B4F739B590B4A4D1.job
    23/08/2005 20:00 342 HPpromotions psc 1600 series.job
    22/08/2005 08:00 6 SA.DAT
    24/09/2003 16:01 <REP> ..
    24/09/2003 16:01 <REP> .
    28/08/2001 16:00 65 desktop.ini
    6 fichier(s) 1.127 octets
    2 R‚p(s) 4.599.742.464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    23/08/2005 21:17 <REP> Windows Genuine Advantage
    18/05/2005 22:12 <REP> BOONTY
    07/05/2005 09:25 2.259 hpzinstall.log
    05/05/2005 15:24 <REP> HP
    18/04/2005 18:38 <REP> Adobe
    19/12/2004 08:51 <REP> AVG7
    19/12/2004 08:50 <REP> Grisoft
    02/12/2004 13:06 <REP> Zylom
    09/11/2004 19:49 <REP> QuickTime
    02/10/2003 14:48 <REP> Macrovision
    01/10/2003 18:45 <REP> Symantec
    24/09/2003 18:56 <REP> CyberLink
    24/09/2003 15:51 62 desktop.ini
    24/09/2003 15:51 <REP> ..
    24/09/2003 15:51 <REP> .
    24/09/2003 15:51 <REP> Microsoft
    2 fichier(s) 2.321 octets
    14 R‚p(s) 4.611.178.496 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\Documents and Settings\XP\Application Data

    19/12/2004 09:32 <REP> AVG7
    14/12/2004 22:41 <REP> Microsoft Games
    14/09/2004 21:14 <REP> CyberLink
    21/02/2004 23:17 <REP> Help
    05/01/2004 19:02 <REP> AdobeUM
    05/01/2004 19:00 0 dm.ini
    26/10/2003 17:32 <REP> Adobe
    10/10/2003 12:17 <REP> Macromedia
    01/10/2003 21:45 <REP> Kazaa Lite
    01/10/2003 18:45 <REP> Symantec
    24/09/2003 18:58 <REP> Microsoft Web Folders
    24/09/2003 16:08 <REP> Identities
    24/09/2003 16:07 <REP> .
    24/09/2003 16:07 <REP> ..
    24/09/2003 15:51 62 desktop.ini
    24/09/2003 15:51 <REP> Microsoft
    2 fichier(s) 62 octets
    14 R‚p(s) 4.611.178.496 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 3F71-BB99

    R‚pertoire de C:\WINDOWS\Tasks

    24/08/2005 08:00 342 HPpromotions psc 1600 series.job
    24/08/2005 00:24 6 SA.DAT
    24/09/2003 16:01 <REP> ..
    24/09/2003 16:01 <REP> .
    28/08/2001 16:00 65 desktop.ini
    3 fichier(s) 413 octets
    2 R‚p(s) 4.611.178.496 octets libres

    A bientôt, merci encore
    0
  12. Utilisateur anonyme
     
    salut

    pour moi c'est ok
    tu peux supprimer fix.bat

    et de ton coté ?

    a+
    0
  13. Plutonulle
     
    Tout m'a l'air OK aussi chez moi.

    C'est parfait, depuis le temps que je trainais ce boulet de MSN !

    Vraiment merci pour le temps passé à me dépanner.

    Bonne continuation.
    0
  14. Niouws Messages postés 815 Statut Membre 105
     
    salut si tu vx plus d'info concernant ce que le sponsor fait pendant l'installation tu px te diriger sur mon site : http://membres.lycos.fr/futurezone

    Tu cliques sur la rubrique "Divers" et tu vas tout en bas, la il y aura un dossier sur messenger plus! et de kazaa
    0