[troj swizzor.dq msn plus]

sylvie -  
 andrew -
Bonjour,
J'étais sur votre forum mais apparemment on ne me répond plus mais je n'étais pas passée par le bon chemin je pense car je suis partie d'une question identique à la mienne posée par quelqu'un dont le problème est résolu (enfin je ne sais pas vraiment)
Je repars sur des bases saines et je vous décris l'historique du problème :

--------------------------------------------------------------------
Message 1 : de sylvie

mon fils a détecté ce virus troj_swizzor.dq par trend micro j'ai désactivé le processus du fichier infecté (cake dead.exe) puis supprimé ce fichier avec trend micro mais il réapparait à chaque lancement de msn ou d'IE. à l'ouverture d'IE j'arrive toujours sur la page open search web et on arrive pas à en changer (même par regedit). Pour le moment il n'utilise plus IE mais wanadoo pour surfer.

Envoi du rapport hijackthis sur le forum :

Logfile of HijackThis v1.99.1
Scan saved at 19:43:04, on 29/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\EzButton\EzButton.EXE
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\matthieu\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yypqnslrwyidwgq.com/7ysb2O5r1ZuHBxa3xVdlP7BCa426Rt/llk_fg37Y_fpY5951CbcVi8fmeRIsU_rK.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.vkozyaaiprvwcalsktytyw.uk/7ysb2O5r1Zs_IzOXK3cMdcL/hK5T7gNOBmWcbXjSakw.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Réponse sur le forum pour marche à suivre :

Bonjour,

Méthode à suivre dans l'ordre...
----------------------------------------------------------------------------
¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite:

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

3/Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm

----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------------------------------------------------------------
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire (tu as téléchargé avant)
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
----------------------------------------------------------------------------
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing)

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe

----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents)

C:\DOCUME~1\matthieu\APPLIC~1\FORDMP
C:\Documents and Settings\All Users\Application Data\InterPlanDogLove

----------------------------------------------------------------------------
¤ Passe Ad-Aware et vire tout ce qu’il trouve
----------------------------------------------------------------------------
¤ Passe Spybot et vire tout ce qu’il trouve
----------------------------------------------------------------------------
> Tu vides ta poubelle et tu redémarres en mode normal ***
Reinstalle msn+vérifie que tu fais bien cette manipulation :
http://theroot.chez.tiscali.fr/imgs/tuto/msgplus.jpg
******
telecharge lopxp.zip ici:
http://get.yourfile.net/oe73160.zip
dezippe le et lance le fichier lopxp.bat, il va generer un rapport, copie et colle le ici
***
et refait un HijackThis

a+

Message de sylvie envoyé sur le forum :

Je suis en pleine procédure et je coince sur les fichiers à effacer :
C:\DOCUME~1\matthieu...... est un chemin qui n'existe pas dans l'explorateur
Sous C:\Documents and settings\All Users\Application Data\InterPlanDogLove j'ai 11 fichiers :
Bias five.exe
CDROM DENT.exe
fragadmin.exe
itch ping.exe
scrMulti.exe
spam trans.exe
Body heck.exe
Five sixth.exe
HeckCreative.exe
SECONDNOUN.exe
et un fichier oneeq4 (fichier système)

Qu'est-ce que j'en fais ?

-----------------------------------------------------------------
voilà où j'en suis restée et depuis l'ordinateur tourne en mode sans échec.

J'espère que quelqu'un (et pourquoi pas régis59) pourra prendre la suite pour m'aider à finir le processus de désinfection

A l'avance merci et à bientôt

32 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par trojan, détectée comme troj_swizzor.dq, et des entrées de hijack apparaissent sur Windows XP SP2, entraînant des réapparitions de fichiers et des redirections vers une page de recherche au démarrage. Des solutions préconisées tournent autour de la suppression des composants malveillants en mode sans échec et de l’emploi de Spybot S&D, Ad-Aware SE et Clean Up 40 avant HijackThis. Certaines indications recommandent aussi la suppression des entrées Run et des chemins suspects, notamment FaceCash.exe et FTRTSVC.exe, après avoir désactivé les fichiers système protégés et démarré en mode sans échec. En pratique, le processus conseille de désinstaller des programmes problématiques comme MSN Plus et Wanadoo, puis de relancer un scan pour confirmer la suppression et éviter les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    alors ton message n'est pas très clair et j'espère comprendre.

    Tout d'abord,

    première chose, désinstalle msnplus tu le réinstalera plus tard en prenant soin de ne pas accepter les sponsors (c'est une mdr...)

    ensuite

    1) clic droit sur poste de travail
    propriété
    restauration systeme
    coche desactivé puis appliquer

    2) demarrer
    panneau de configuration
    outil
    option des dossiers
    affichage,
    coche afficher dossier cachés
    decoche : masquer extension des fichiers dont le type est connu
    masquer les fichiers protégés du systeme d'exploitation.

    3) demarre en mode sans echec.
    Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

    4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

    O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

    5) Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    France Telecom Routing Table Service
    Double clic dessus (FTRTSVC) et clic sur arreter puis dans type de demarrage selectionne désactivé

    6) supprime les fichiers
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

    ce doit etre:
    C:\Documents and settings\matthieu\application data\Fragto... (quelque chose) \FaceCash.exe

    vide ta corbeille redemarre
    refait un log hijack on verra plus clair.

    a+

    Jean
    0
    1. sylvie
       
      Merci de me répondre aussi vite jean38.
      Je vais essayer de mieux t'expliquer en prenant mon temps car c'est vrai que je suis nulle et que j'ai toujours peur de faire des bétises. Tu vas voir je suis lente à la compréhension.
      1er point :
      je ne t'écris pas du pc infecté mais de mon pc au bureau.
      mais pas de panique, j'ai un autre pc à la maison qui est sain et avec lequel je communique pour régler le problème du pc infecté. Dès 17 H je pourrais faire ce que tu m'auras indiqué. Avant celà je prends le temps de bien t'expliquer ce que j'ai déjà fait.

      après avoir envoyé mon rapport hijackthis sur le forum, j'ai commencé à suivre les indications qui m'ont été données à savoir :

      1ère : j'ai démarré le pc en mode sans échec
      2ème : j'ai coché "afficher les fichiers et dossiers cachés"
      j'ai décoché la case « masquer les extensions dont le type est connu »
      3ème : j'ai vidé les fichiers temps et tempory internet file
      avec CleanUp40.exe
      4ème : j'ai relancé HijackThis, coché les cases devant les lignes ci dessous et cliqué sur fix checked :

      O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing)

      O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

      O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe


      ----------------------------------------------------------------------------
      4ème : Je devais rechercher et supprimer ceci:
      attention seulement les fichiers (si présents)

      C:\DOCUME~1\matthieu\APPLIC~1\FORDMP
      C:\Documents and Settings\All Users\Application Data\InterPlanDogLove

      ET C'EST LA OU LE BAS BLESSE ET OU J'AI PREFERE M'ARRETER POUR DEMANDER CONSEIL CAR SOUS C:\Documents and Settings\All Users\Application Data\InterPlanDogLove
      IL Y A CES 11 FICHIERS QUE JE N'OSE PAS SUPPRIMER :

      Bias five.exe
      CDROM DENT.exe
      fragadmin.exe
      itch ping.exe
      scrMulti.exe
      spam trans.exe
      Body heck.exe
      Five sixth.exe
      HeckCreative.exe
      SECONDNOUN.exe
      et un fichier oneeq4 (fichier système)

      Tu en pense quoi ? Est-ce que j'abandonne cette procédure et que je reprends la tienne à partir de la désinstallation de msn plus ? ou si tu préfères en rentrant à 17 h je te renvoies direct un rapport hijackthis (en restant en mode sans échec) ? c'est toi le spécialiste et vraiment sympa à toi de reprendre ce dossier en cours.

      A tout de suite
      0
  2. un ami a jean
     
    salut
    je conseilles de les analyser ces fichiers !
    C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe
    C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

    ici
    http://virusscan.jotti.org/
    et ici
    http://www.virustotal.com/xhtml/virustotal_en.html

    coller les resultats
    0
    1. sylvie
       
      merci encore ; j'ai maintenant 2 aides c'est super.
      Ok dès que je rentre je quitte le mode sans échec pour redemarrer normalement je désinstalle msn plus (s'il existe toujours !) et je lance les scan demandés pour envoyer un rapport.
      j'espère y arriver car sincèrement je ne suis pas douée.
      je vous recontacte dès que possible et si encore un conseil à me donner n'hésitez pas
      A +
      sylvie
      0
    2. sylvie
       
      voici le résultat du 1er scan de spam trans.exe
      je continue et je vous envoie la suite

      Jotti's malware scan 2.99-TRANSITION_TO_3.00

      File to upload & scan:
      Service
      Service load: 0% 100%

      File: Spam_trans.exe
      Status: INFECTED/MALWARE
      MD5 5f4827f346341480b0a4f1b795601bd5
      Packers detected: PE_PATCH.UPC, UPC
      Scanner results
      AntiVir Found nothing
      ArcaVir Found nothing
      Avast Found nothing
      AVG Antivirus Found nothing
      BitDefender Found nothing
      ClamAV Found nothing
      Dr.Web Found nothing
      F-Prot Antivirus Found nothing
      Fortinet Found nothing
      Kaspersky Anti-Virus Found nothing
      NOD32 Found a variant of Win32/TrojanDownloader.Swizzor
      Norman Virus Control Found nothing
      UNA Found nothing
      VBA32 Found nothing

      Powered by

      Disclaimer
      This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, I cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.

      Also, I am aware of the implications of a setup like this. I am sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). I am aware, in spite of efforts to proactively counter these, false positives might occur, for example. I do not consider this a very big issue, so please do not e-mail me about it. This is a simple online scan service, not the university of Wichita.

      Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.

      Virus definitions are updated every hour. There is a 15Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.

      Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception.

      Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, and some people who prefer to remain anonymous... many thanks to all!

      Statistics
      Last file scanned at least one scanner reported something about: TibiaBot_7.5.rar, detected by:

      Scanner Malware name
      AntiVir Worm/Procil.a.1
      ArcaVir Trojan.Spy.Sckeylog.V
      Avast Win32:Keylog-016
      AVG Antivirus PSW.Generic.U
      BitDefender Trojan.SCKeyLog.20
      ClamAV X
      Dr.Web Trojan.MulDrop.2114
      F-Prot Antivirus X
      Fortinet W32/Sckeylog.V-tr
      Kaspersky Anti-Virus Trojan-PSW.Win32.SCKeyLog.ac
      NOD32 Win32/Spy.SCKeyLog
      Norman Virus Control X
      UNA X
      VBA32 Trojan-Spy.Win32.SCKeyLog.v


      You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives





      Frequently asked questions - Feedback



      Page generated by JTPL

      Copyright © 2004-2005 Jordi Bosveld <jotti@jotti.org>
      0
    3. sylvie
       
      voici le second rapport . En effet virus ?

      Je lance maintenant sur FaceCash.exe et je vous envoie les rapports

      This is a report processed by VirusTotal on 08/31/2005 at 17:24:11 (CET) after scanning the file "Spam_trans.exe" file.
      Antivirus Version Update Result
      AntiVir 6.31.1.0 08.31.2005 no virus found
      Avast 4.6.695.0 08.31.2005 no virus found
      AVG 718 08.31.2005 no virus found
      Avira 6.31.1.0 08.31.2005 no virus found
      BitDefender 7.0 08.31.2005 no virus found
      CAT-QuickHeal 8.00 08.31.2005 (Suspicious) - DNAScan
      ClamAV devel-20050725 08.31.2005 no virus found
      DrWeb 4.32b 08.31.2005 no virus found
      eTrust-Iris 7.1.194.0 08.30.2005 no virus found
      eTrust-Vet 11.9.1.0 08.31.2005 no virus found
      Fortinet 2.41.0.0 08.31.2005 suspicious
      F-Prot 3.16c 08.31.2005 no virus found
      Ikarus 0.2.59.0 08.31.2005 AdWare.Lop.J
      Kaspersky 4.0.2.24 08.31.2005 no virus found
      McAfee 4571 08.31.2005 no virus found
      NOD32v2 1.1206 08.31.2005 a variant of Win32/TrojanDownloader.Swizzor
      Norman 5.70.10 08.31.2005 no virus found
      Panda 8.02.00 08.31.2005 Adware/Lop
      Sophos 3.97.0 08.31.2005 no virus found
      Symantec 8.0 08.30.2005 no virus found
      TheHacker 5.8.2.097 08.30.2005 no virus found
      VBA32 3.10.4 08.30.2005 no virus found



      VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
      --------------------------------------------------------------------------------
      www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com
      0
    4. sylvie
       
      désolée mais le répertoire c:\DOCUME~1 ....... n'existe pas par contre n'est-il pas judicieux de lancer le scan sur tout les fichiers du dossier InterPlanDogLove ?
      en attendant votre réponse, je vais vérifier si msn plus est toujours là si oui je je desinstalle et ensuite je lance un hijackthis et je vous colle le rapport
      A tout de suite
      0
    5. sylvie
       
      ca y est je crois de mon cote j'ai tout fait (et j'espère bien fait)
      je vous envoie donc le rapport hijackthis
      je précise que je n'ai pas désactivé la restauration système, que je n'ai pas recaché mes fichiers et que msn plus n'est apparemment plus présent (seul reste msn 7)
      merci de votre réponse. C'est à vous (à toi) de jouer

      Logfile of HijackThis v1.99.1
      Scan saved at 17:38:32, on 31/08/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\WINDOWS\system32\DVDRAMSV.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
      C:\Program Files\ltmoh\Ltmoh.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      C:\Program Files\EzButton\EzButton.EXE
      C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      C:\WINDOWS\System32\ZoomingHook.exe
      C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\Logitech\Video\LogiTray.exe
      C:\WINDOWS\system32\dla\tfswctrl.exe
      C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Microsoft Money\System\mnyexpr.exe
      c:\progra~1\intern~1\iexplore.exe
      C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\WINDOWS\system32\RAMASST.exe
      C:\Program Files\Logitech\Video\FxSvr2.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\hijackthis_199\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yypqnslrwyidwgq.com/7ysb2O5r1ZuHBxa3xVdlP7BCa426Rt/llk_fg37Y_fpY5951CbcVi8fmeRIsU_rK.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.vkozyaaiprvwcalsktytyw.uk/7ysb2O5r1Zs_IzOXK3cMdcL/hK5T7gNOBmWcbXjSakw.htm
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
      O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE
      O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
      O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
      O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
      O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
      O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
      O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe
      O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
      O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
      O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
      O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
      O20 - AppInit_DLLs: MsgPlusLoader.dll
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      0
  3. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    alors

    j'aime bien connaitre mais ami ou ceux qui s'annonce comme tel, je ne comprends plus rien alors:

    pour ce qui de c:\DOCUME~1

    c'est l'abrevation de document and setting etc.

    il existe dans tous les windows.

    pour le fichier analysé(FaceCash.exe), perso je le vire sauf s'il te parle. rien chez pas mal de maison, mais un l'indique comme trojan...

    pour le reste, je touche pas, voir avec mon ami ce qu'il preconise....

    a chcun sa responsabilité...lol

    jean
    0
    1. sylvie
       
      re-bonjour Jean38
      Je suis désolée mais je n'ai pas l'habitude des forums et je pensais bien faire en répondant à un "ami de Jean"
      Je commence à être perdue.
      Maintenant je ne vais communiquer qu'avec toi et j'espère que tu as vu les rapports que j'ai envoyés sur spam trans.exe et surtout je pense le plus important c'est à dire le dernier rapport hijackthis.
      Moi non plus les fichiers sous InterPlanDogLove ne me parlent pas mais avant toute action je te laisse examiner le rapport hijackthis et je me laisse guider pour la suite
      encore excuses et à tout de suite
      sylvie
      0
  4. Utilisateur anonyme
     
    salut jean, sylvie

    messenger plus et son sponsor, lol
    Tu as installé Messenger plus en acceptant les sponsors(=spyware lop.com).

    telecharge lopxp ici:
    http://get.yourfile.net/oe73160.zip
    dezippe le (clic droit dessus > extraire tout)
    et lance lopxp.bat
    le bloc note va s'ouvrir, copie et colle le contenu ici

    a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut Moe,

    sauf erreur de ma part, manip pôur enlever lop faite...???

    en plus désinstal. de msn plus ... ???

    sauf si non fait.

    a+
    0
  7. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Pardon,

    ce qui n'enlève rien à la pertinence de la manip... a faire.
    0
    1. sylvie
       
      Bonjour moe et jean (vrais amis alors ?)

      alors là vous vous y mettez tous. ok voici le rapport lopxp faites en bon usage.

      Egalement maintenant winfixer qui m'envoie des messages pour que je l'installe. Je suppose que vous savez arrêter ça également vu que vous êtes des as (un peu de flaterie ça fait pas de mal et ça me détend

      merci a tout de suite

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      29/08/2005 19:14 <REP> InterPlanDogLove
      29/08/2005 17:49 <REP> Microsoft
      15/08/2005 16:12 <REP> Spybot - Search & Destroy
      15/08/2005 16:09 <REP> .
      15/08/2005 16:09 <REP> ..
      15/08/2005 14:52 <REP> Symantec
      15/08/2005 14:35 <REP> Windows Genuine Advantage
      13/06/2005 18:03 <REP> MSScanAppDataDir
      25/04/2005 21:46 <REP> Messenger Plus!
      20/08/2004 11:29 <REP> Adobe
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:22 <REP> SBSI
      1 fichier(s) 62 octets
      11 R‚p(s) 85ÿ938ÿ708ÿ480 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\matthieu\Application Data

      29/08/2005 20:04 <REP> ..
      29/08/2005 20:04 <REP> .
      29/08/2005 20:04 1ÿ066 wklnhst.dat
      29/08/2005 19:16 <REP> Fragtonsball
      26/08/2005 22:24 <REP> Ford mpeg
      21/08/2005 00:08 <REP> Microsoft
      19/08/2005 20:53 <REP> Lavasoft
      26/06/2005 12:19 <REP> InterVideo
      13/06/2005 17:34 <REP> Logitech
      04/06/2005 21:38 <REP> Sonic
      21/05/2005 17:39 <REP> FotoWire
      23/04/2005 17:08 <REP> Macromedia
      20/08/2004 11:34 <REP> Symantec
      20/08/2004 11:30 <REP> AdobeUM
      20/08/2004 11:30 <REP> Adobe
      20/08/2004 11:26 <REP> toshiba
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:27 <REP> Identities
      20/08/2004 09:24 <REP> Sun
      2 fichier(s) 1ÿ128 octets
      17 R‚p(s) 85ÿ938ÿ708ÿ480 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\WINDOWS\Tasks

      31/08/2005 17:08 6 SA.DAT
      30/08/2005 00:00 268 AD7765B191B119D1.job
      30/08/2005 00:00 268 AE97C4C091FC7D30.job
      28/08/2005 16:34 370 Symantec NetDetect.job
      26/08/2005 22:01 <REP> .
      26/08/2005 22:01 <REP> ..
      26/08/2005 20:50 572 Norton AntiVirus - Analyser mon ordinateur - matthieu.job
      20/04/2005 18:37 258 Rappel d'enregistrement 3.job
      05/08/2004 12:00 65 desktop.ini
      7 fichier(s) 1ÿ807 octets
      2 R‚p(s) 85ÿ938ÿ708ÿ480 octets libres

      C:\Program Files\C2Media Présent !
      0
  8. Real Mona Messages postés 1432 Statut Membre 94
     
    Jean,

    Je pense que "un ami à jean" n'était autre que Quentin... donc tu vois, il rôde... et joue au concombre masqué !

    Biz
    Mona

    PS : scuse Sylvie d'être intervenue sur ton log, mais j'en profite pour te dire que tu es entre de très bonnes mains !!
    0
  9. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    vrai amis.... oui c'est sûr.
    Moe vrai as , oui c'est sur
    0
    1. sylvie
       
      et voilà on s'amuse pendant que sylvie galère ... je rigole ...
      alors super docteur mon cas est-il grave ?
      moe jean ou ami de jean je vous écoute et vous remercie
      syvie
      0
  10. Utilisateur anonyme
     
    c'est parti

    Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre

    Déconnecte toi d'internet:

    Ferme tout les programmes en cours

    Vide le cache de tous tes navigateurs et supprime les cookies:

    Pour Internet Explorer:
    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour Firefox:
    menu 'Outils' > Options
    icône 'Vie privée'
    rubrique Cache, appuyer sur le bouton "Vider le cache"
    rubrique Cookies appuyer sur le bouton "Effacer"
    valide ok

    Pour Mozilla
    Edition > Préférences > Avancé > Cache
    clic sur "Vider le cache"
    et pour les cookies:
    Outils > Gestionnaire de cookies > Gérer les cookies stockés
    clic sur "Supprimer les cookies"
    valider ok

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime ces dossiers:

    C:\Program Files\C2Media
    C:\Documents and Settings\All Users\Application Data\InterPlanDogLove
    C:\Documents and Settings\matthieu\Application Data\Fragtonsball
    C:\Documents and Settings\matthieu\Application Data\Ford mpeg

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    vider tout le contenu des dossiers Temp:

    * C:\Documents and Settings\matthieu\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Windows\Temp

    :: Le contenu du dossier prefetch ::

    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    Ou avec Cleanup:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe

    * Ne pas oublier de vider la corbeille !

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    ensuite, toujours en mode sans echec, fais:

    demarrer > executer et tape cmd
    dans la fenetre dos, copie et colle ceci:

    del /a C:\WINDOWS\Tasks\AD7765B191B119D1.job

    et valide

    toujours dans la fenetre dos, copie et colle ceci:

    del /a C:\WINDOWS\Tasks\AE97C4C091FC7D30.job

    et valide

    redemarre normallement ton pc et reposte un hijack, plus un rapport de lopxp.bat

    Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

    a+
    0
    1. sylvie
       
      ca y est j'ai fait ce que tu m'as demandé. Un bémol : après toutes les suppress, la corbeille était quand même vide ?

      bon je colle les rapports et j'attends de savoir ce que tu en penses ?

      merci d'avance et à tout de suite

      sylvie

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      29/08/2005 19:14 <REP> InterPlanDogLove
      29/08/2005 17:49 <REP> Microsoft
      15/08/2005 16:12 <REP> Spybot - Search & Destroy
      15/08/2005 16:09 <REP> .
      15/08/2005 16:09 <REP> ..
      15/08/2005 14:52 <REP> Symantec
      15/08/2005 14:35 <REP> Windows Genuine Advantage
      13/06/2005 18:03 <REP> MSScanAppDataDir
      25/04/2005 21:46 <REP> Messenger Plus!
      20/08/2004 11:29 <REP> Adobe
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:22 <REP> SBSI
      1 fichier(s) 62 octets
      11 R‚p(s) 85ÿ938ÿ708ÿ480 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\matthieu\Application Data

      29/08/2005 20:04 <REP> ..
      29/08/2005 20:04 <REP> .
      29/08/2005 20:04 1ÿ066 wklnhst.dat
      29/08/2005 19:16 <REP> Fragtonsball
      26/08/2005 22:24 <REP> Ford mpeg
      21/08/2005 00:08 <REP> Microsoft
      19/08/2005 20:53 <REP> Lavasoft
      26/06/2005 12:19 <REP> InterVideo
      13/06/2005 17:34 <REP> Logitech
      04/06/2005 21:38 <REP> Sonic
      21/05/2005 17:39 <REP> FotoWire
      23/04/2005 17:08 <REP> Macromedia
      20/08/2004 11:34 <REP> Symantec
      20/08/2004 11:30 <REP> AdobeUM
      20/08/2004 11:30 <REP> Adobe
      20/08/2004 11:26 <REP> toshiba
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:27 <REP> Identities
      20/08/2004 09:24 <REP> Sun
      2 fichier(s) 1ÿ128 octets
      17 R‚p(s) 85ÿ938ÿ708ÿ480 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\WINDOWS\Tasks

      31/08/2005 17:08 6 SA.DAT
      30/08/2005 00:00 268 AD7765B191B119D1.job
      30/08/2005 00:00 268 AE97C4C091FC7D30.job
      28/08/2005 16:34 370 Symantec NetDetect.job
      26/08/2005 22:01 <REP> .
      26/08/2005 22:01 <REP> ..
      26/08/2005 20:50 572 Norton AntiVirus - Analyser mon ordinateur - matthieu.job
      20/04/2005 18:37 258 Rappel d'enregistrement 3.job
      05/08/2004 12:00 65 desktop.ini
      7 fichier(s) 1ÿ807 octets
      2 R‚p(s) 85ÿ938ÿ708ÿ480 octets libres

      C:\Program Files\C2Media Présent !
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      31/08/2005 18:34 <REP> ..
      31/08/2005 18:34 <REP> .
      29/08/2005 17:49 <REP> Microsoft
      15/08/2005 16:12 <REP> Spybot - Search & Destroy
      15/08/2005 14:52 <REP> Symantec
      15/08/2005 14:35 <REP> Windows Genuine Advantage
      13/06/2005 18:03 <REP> MSScanAppDataDir
      25/04/2005 21:46 <REP> Messenger Plus!
      20/08/2004 11:29 <REP> Adobe
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:22 <REP> SBSI
      1 fichier(s) 62 octets
      10 R‚p(s) 85ÿ938ÿ855ÿ936 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\matthieu\Application Data

      31/08/2005 18:47 <REP> .
      31/08/2005 18:47 <REP> ..
      31/08/2005 18:47 1ÿ212 wklnhst.dat
      21/08/2005 00:08 <REP> Microsoft
      19/08/2005 20:53 <REP> Lavasoft
      26/06/2005 12:19 <REP> InterVideo
      13/06/2005 17:34 <REP> Logitech
      04/06/2005 21:38 <REP> Sonic
      21/05/2005 17:39 <REP> FotoWire
      23/04/2005 17:08 <REP> Macromedia
      20/08/2004 11:34 <REP> Symantec
      20/08/2004 11:30 <REP> AdobeUM
      20/08/2004 11:30 <REP> Adobe
      20/08/2004 11:26 <REP> toshiba
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:27 <REP> Identities
      20/08/2004 09:24 <REP> Sun
      2 fichier(s) 1ÿ274 octets
      15 R‚p(s) 85ÿ938ÿ851ÿ840 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\WINDOWS\Tasks

      31/08/2005 18:51 6 SA.DAT
      31/08/2005 18:49 <REP> ..
      31/08/2005 18:49 <REP> .
      28/08/2005 16:34 370 Symantec NetDetect.job
      26/08/2005 20:50 572 Norton AntiVirus - Analyser mon ordinateur - matthieu.job
      20/04/2005 18:37 258 Rappel d'enregistrement 3.job
      05/08/2004 12:00 65 desktop.ini
      5 fichier(s) 1ÿ271 octets
      2 R‚p(s) 85ÿ938ÿ851ÿ840 octets libres


      Logfile of HijackThis v1.99.1
      Scan saved at 19:00:31, on 31/08/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\WINDOWS\system32\DVDRAMSV.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
      C:\Program Files\ltmoh\Ltmoh.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      C:\Program Files\EzButton\EzButton.EXE
      C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      C:\WINDOWS\System32\ZoomingHook.exe
      C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\Logitech\Video\LogiTray.exe
      C:\WINDOWS\system32\dla\tfswctrl.exe
      C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Microsoft Money\System\mnyexpr.exe
      C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
      C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\WINDOWS\system32\RAMASST.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\Program Files\Logitech\Video\FxSvr2.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\hijackthis_199\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yypqnslrwyidwgq.com/7ysb2O5r1ZuHBxa3xVdlP7BCa426Rt/llk_fg37Y_fpY5951CbcVi8fmeRIsU_rK.html
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.vkozyaaiprvwcalsktytyw.uk/7ysb2O5r1Zs_IzOXK3cMdcL/hK5T7gNOBmWcbXjSakw.htm
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
      O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE
      O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
      O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
      O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
      O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
      O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
      O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
      O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
      O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
      O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
      O20 - AppInit_DLLs: MsgPlusLoader.dll
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
      0
      1. Utilisateur anonyme > sylvie
         
        salut

        tu les a supprimés comment ?
        clic droit > supprimer
        ou
        selection du fichier > maj+suppr

        reste ces 2 lignes à supprimer avec hijackthis
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yypqnslrwyidwgq.com/7ysb2O5r1ZuHBxa3xVdlP7BCa426Rt/llk_fg37Y_fpY5951CbcVi8fmeRIsU_rK.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.vkozyaaiprvwcalsktytyw.uk/7ysb2O5r1Zs_IzOXK3cMdcL/hK5T7gNOBmWcbXjSakw.htm

        puis redemarre le pc

        pour moi c'est clean et de ton coté toujours des soucis ?

        a+
        0
      2. sylvie > Utilisateur anonyme
         
        re bonjour moe

        vraiment super sympa et super efficace. Je viens de faire les dernières manips demandées mais avant de remettre les caches sur les fichiers, de redémarrer l'ordi et de réinstaller proprement msn plus ; je voudrais savoir s'il n'y a pas une manip à faire concernant la restauration automatique que certains font enlever et d'autres pas ?
        autre chose : le problème de la fenêtre de winfixer qui s'ouvre sans arrêt pour installation, je ne l'aurai plus ?
        et pour encore abuser de ta gentillesse et de ton temps, est-ce que je pourrais t'envoyer à nouveau un hitjackthis après installation de msn plus ?

        a tout de suite pour le final j'espère
        0
  11. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    pour mona, t'as vu la signature apparue depuis...??? lol

    POUR SYLVIE

    sais pas si moe toujours là je connait pas ce fix mais il semble que ta machine va s'auto detruire dans les secondes qui suivent... Bye bye

    plus serieusement je crois comprendre que tu as un dossier dans programme file qui se nomme C2 media et que c'est pas bien.

    donc

    Déconnecte toi d'internet:

    Ferme tout les programmes en cours

    Vide le cache de tous tes navigateurs et supprime les cookies:

    Pour Internet Explorer:
    * Panneau de configuration >> Options internet >> Onglet "Général"
    - Clic sur [supprimer les cookies]
    - Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
    Valide avec ok

    Pour Firefox:
    menu 'Outils' > Options
    icône 'Vie privée'
    rubrique Cache, appuyer sur le bouton "Vider le cache"
    rubrique Cookies appuyer sur le bouton "Effacer"
    valide ok

    Pour Mozilla
    Edition > Préférences > Avancé > Cache
    clic sur "Vider le cache"
    et pour les cookies:
    Outils > Gestionnaire de cookies > Gérer les cookies stockés
    clic sur "Supprimer les cookies"
    valider ok

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xailefjdazt.org/x_u1i02lgX86TQ3AlSDY8WJUgN1kze6Ci7EQ0YJCEC6rwGnH17NxrhisW8XRgsbs.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.veyfrfxrzn.com/x_u1i02lgX/VOWTl24MI27WCVqQR/KbFBhjB2m883N4.html
    O2 - BHO: (no name) - {D6C657D0-D27E-4C3C-06A2-34AE36AAA093} - C:\DOCUME~1\PASCAL~1\APPLIC~1\EXITPL~1\file build.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKLM\..\Run: [Real That Barb Balm] C:\Documents and Settings\All Users\Application Data\GlueBowsRealThat\Flawfour.exe
    O4 - HKCU\..\Run: [BikeObj] C:\DOCUME~1\PASCAL~1\APPLIC~1\32Delete\curbmemo.exe

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime:

    C:\Program Files\C2Media <-le dossier
    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    vider tout le contenu des dossiers Temp:

    * C:\Documents and Settings\matthieu\Local Settings\Temp
    * C:\Windows\Temp

    redemarre refait un log.

    0
    1. Real Mona Messages postés 1432 Statut Membre 94
       
      oui, on ne peut pas passer à côté de ta signature chéri... mais ceux qui ne te connaissent pas, ni ne connaissent Quentin, vont croire que tu as perdu ton... comment dirais-je... fiancé ? cela ne me regarde pas !
      0
  12. Utilisateur anonyme
     
    lopxp.bat c'est un prog perso, qui permet juste de voir les dossiers qui apparaissent dans application data (endroit ou se loge les dossiers du sponsor), qui liste les taches planifiées et qui recherche le dossier c2media crée par lop.
    c'est pas un fix, ca permet juste d'avoir le nom des dossiers en entier et les taches planifiées.

    a+
    0
  13. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    pour sylvie,

    suis la manip de moe, je me suis emmelé dans mes copiés collés, je navigue sur 2 becanes et les soir y en a 2 de trop.

    comme dirait l'autre j'allais le dire.

    Pour Mona, je me fou de ce que pense ceux qui ne nous connaissent pas ce qui est important c'est la sincérité de ce qui est écrit...
    et ceux qui le connaisse pensent de même j'éspère...

    mais je comprends... chérie.
    0
  14. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    re Moe,

    pour çà

    Recherche et supprime ces dossiers:

    C:\Program Files\C2Media
    C:\Documents and Settings\All Users\Application Data\InterPlanDogLove
    C:\Documents and Settings\matthieu\Application Data\Fragtonsball
    C:\Documents and Settings\matthieu\Application Data\Ford mpeg

    tu les vois sur ton exe ou c'est automatique??
    je ne les vosi pas apparaitre.

    pour les 2 xxxxxxxxxxxxx. Job OK mais là? je calle.

    merci d'avance
    0
    1. sylvie
       
      moe m'a fait supprimer ces dossiers et je ne les vois pas dans larborescence de l'explorateur ni avec la fonction rechercher

      j'espère quand même etre clean et après re demarrage de l'ordi et install (en faisant attention cette fois) de msn plus je pense que je renvoie un rapport hijackthis si ça ne dérange pas bien sur

      a + et encore grand merci à moe jean et tous les autres qui règlent nos gros soucis et nos grosses bétises

      sylvie
      0
  15. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    Pas de probleme Sylvie,

    pour le log tu seras tjrs la bien venue. Pour les exe je pense que ce sont les reguliers de lop que Moe t'a fait supprimer par defaut.. mais je verrais sa reponse pour etre sûr.

    Bises

    Jean
    0
  16. Utilisateur anonyme
     
    pour jean

    Pas facile d'expliquer, je l'utilise en complément d'hijack
    lop crée ces dossiers dans
    All Users\Application Data (1 dossier)
    nom du compte\Application Data (2 dossiers)
    + fichiers dans les temp
    avec hijack ils se reperent assez bien, c'est toujours des noms aleatoires, avec des exe souvent en plusieurs parties de 4 ou 5 lettres maxi.
    à force de les voir sur les logs, tu verra qu'ils se reconnaisent facilements

    O2 - BHO: (no name) - {3A19489A-E9DA-F305-50FF-ED1E7A2AEA9E} - C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing)
    O4 - HKCU\..\Run: [way bash] C:\DOCUME~1\matthieu\APPLIC~1\FRAGTO~1\FaceCash.exe
    O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.exe

    reste plus qu'a comparer avec lopxp.bat pour avoir les noms entiers des dossiers.
    les taches planifiées de ce type: AD7765B191B119D1.job
    et voir si c2media est là ou pas (il y est pratiquement tout le temps)
    voilà

    sylvie :

    pour winfixer, c'est des pubs qui s'affchent du genre pop-up ou est ce qu'il y a un titre dans la fenetre qui s'affiche (en haut à gauche)

    a+
    0
  17. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    OK bien compris mais pour ceux là??

    C:\Documents and Settings\All Users\Application Data\InterPlanDogLove
    C:\Documents and Settings\matthieu\Application Data\Fragtonsball

    0
  18. Utilisateur anonyme
     
    je comprend pas ce que tu veut dire, ils apparaissent dans le resultat du prog et dans hijack (le 1er qu'elle à posté)

    C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1\Cake dead.exe (file missing) 
    O4 - HKLM\..\Run: [doglovepiletrust] C:\Documents and Settings\All Users\Application Data\InterPlanDogLove\Spam trans.ex
    e
    0
    1. sylvie
       
      bonsoir vous deux

      je ne sais plus très bien où j'en suis mais je pense que vous discutez de mon prb tous les deux et que vous allez me dire à la fin ce que je dois faire pour être vraiment clean ?
      pensant que c'était fini, j'ai réinstallé msn plus et maintenant voilà le rapport hitjackthis et logxp (après install j'ai redémarré mon poste)

      on va s'en sortir n'st-ce pas ?

      A tout de suite

      Logfile of HijackThis v1.99.1
      Scan saved at 20:04:04, on 31/08/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\WINDOWS\system32\DVDRAMSV.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
      C:\Program Files\ltmoh\Ltmoh.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      C:\Program Files\EzButton\EzButton.EXE
      C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      C:\WINDOWS\System32\ZoomingHook.exe
      C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      C:\WINDOWS\system32\LVCOMSX.EXE
      C:\Program Files\Logitech\Video\LogiTray.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\WINDOWS\system32\dla\tfswctrl.exe
      C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\MessengerPlus! 3\MsgPlus.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      C:\Program Files\Microsoft Money\System\mnyexpr.exe
      C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
      C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\WINDOWS\system32\RAMASST.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\Program Files\Logitech\Video\FxSvr2.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Logitech\Video\AlbumDB2.exe
      C:\hijackthis_199\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
      O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      O4 - HKLM\..\Run: [EzButton] C:\Program Files\EzButton\EzButton.EXE
      O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
      O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
      O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
      O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
      O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
      O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
      O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
      O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
      O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
      O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
      O20 - AppInit_DLLs: MsgPlusLoader.dll
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
      O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe


      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      31/08/2005 18:34 <REP> ..
      31/08/2005 18:34 <REP> .
      29/08/2005 17:49 <REP> Microsoft
      15/08/2005 16:12 <REP> Spybot - Search & Destroy
      15/08/2005 14:52 <REP> Symantec
      15/08/2005 14:35 <REP> Windows Genuine Advantage
      13/06/2005 18:03 <REP> MSScanAppDataDir
      25/04/2005 21:46 <REP> Messenger Plus!
      20/08/2004 11:29 <REP> Adobe
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:22 <REP> SBSI
      1 fichier(s) 62 octets
      10 R‚p(s) 85ÿ923ÿ033ÿ088 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\Documents and Settings\matthieu\Application Data

      31/08/2005 18:47 <REP> .
      31/08/2005 18:47 <REP> ..
      31/08/2005 18:47 1ÿ212 wklnhst.dat
      21/08/2005 00:08 <REP> Microsoft
      19/08/2005 20:53 <REP> Lavasoft
      26/06/2005 12:19 <REP> InterVideo
      13/06/2005 17:34 <REP> Logitech
      04/06/2005 21:38 <REP> Sonic
      21/05/2005 17:39 <REP> FotoWire
      23/04/2005 17:08 <REP> Macromedia
      20/08/2004 11:34 <REP> Symantec
      20/08/2004 11:30 <REP> AdobeUM
      20/08/2004 11:30 <REP> Adobe
      20/08/2004 11:26 <REP> toshiba
      20/08/2004 11:08 62 desktop.ini
      20/08/2004 09:27 <REP> Identities
      20/08/2004 09:24 <REP> Sun
      2 fichier(s) 1ÿ274 octets
      15 R‚p(s) 85ÿ923ÿ033ÿ088 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1C0F-0D1F

      R‚pertoire de C:\WINDOWS\Tasks

      31/08/2005 19:52 6 SA.DAT
      31/08/2005 18:49 <REP> ..
      31/08/2005 18:49 <REP> .
      28/08/2005 16:34 370 Symantec NetDetect.job
      26/08/2005 20:50 572 Norton AntiVirus - Analyser mon ordinateur - matthieu.job
      20/04/2005 18:37 258 Rappel d'enregistrement 3.job
      05/08/2004 12:00 65 desktop.ini
      5 fichier(s) 1ÿ271 octets
      2 R‚p(s) 85ÿ923ÿ033ÿ088 octets libres
      0
  19. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    wahouu,

    j'etais pas remonté si loin, je restai sur le dernier...

    bravo chapeau bas.

    et merci
    0
  20. Utilisateur anonyme
     
    bah, de rien

    en fait au depart je voulais juste voir le contenu des dossiers application data, parce que tout le monde n'arrive pas localiser un dossier dont le chemin est ecrit comme ca :
    C:\DOCUME~1\matthieu\APPLIC~1\FORDMP~1

    a+
    0
    1. sylvie
       
      coucou moe

      est-ce que tu as lu mes rapports du message 33

      Tu me dis ce que tu en penses pour qu'on puisse en finir avec toutes ces cochonneries

      A tout de suite

      Merci

      Sylvie
      0
  21. Utilisateur anonyme
     
    salut sylvie

    le hijack apres reinstall de messenger plus est clean

    par contre j'ai un doute sur ce fichier:
    C:\Documents and Settings\matthieu\Application Data\wklnhst.dat

    est ce que tu peux le faire analyser ici:
    http://www.virustotal.com/xhtml/virustotal_en.html
    et poste le resultat

    pour winfixer, c'est des pubs qui s'affchent du genre pop-up ou est ce qu'il y a un titre dans la fenetre qui s'affiche (en haut à gauche)

    a+
    0
    1. sylvie
       
      Chère moe

      j'ai fait l'analyse demandée mais je n'arrive pas à le copier. Je fais edition selectionner tout ca marche mais edition copier il ne veut pas.
      Enfin l'analyse du fichier en question est "no virus found"

      pour le message winfixer, c'est bien un affichage fenetre avec titre mais pour l'instant il ne me l'a pas refait.

      toujours a ton ecoute pour ta reponse
      Merci
      Sylvie
      0
      1. Utilisateur anonyme > sylvie
         
        ok
        faudrait que tu refasse pareil pour ce fichier que jean a repéré et dont on ne trouve pratiquement pas d'info:
        C:\WINDOWS\System32\FTRTSVC.exe

        si tu n'arrive pas à poster le rapport, dis nous s'il est ok ou pas

        a++
        0
      2. sylvie > Utilisateur anonyme
         
        il est ok également

        sylvie
        0
      3. Utilisateur anonyme > sylvie
         
        d'accord

        si tu as encore des pubs, fais nous le savoir

        a+++
        0
  • 1
  • 2