Log hijack

salut alors ta soeur a plusieurs problème.

dans l'ordre, pour lepremier ellelance hijack et vire les lignes:

O2 - BHO: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.4.5.0\HbHostIE.dll (file missing)

O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.4.5.0\HbHostIE.dll (file missing)

O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)

puis vire le dossier si present:

C:\Program Files\Hotbar

ensuite:

1)
telecharge lopxp ici:

http://cjoint.com/?kumvZSxxY4

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici le rapport

A+

Merci bcp jean
Je vais déjà dire ça à ma soeur et je posterai un log lopxp.bat le plus vite possible

a+

Voila, ma soeur a suivi les instructions voici le log lopxp.bat:

Rapport fait à 18:48:00,01 le jeu. 03/11/2005

Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\All Users\Application Data

18/10/2005 19:33 <REP> Adobe
25/07/2005 17:20 <REP> ABBYY
25/07/2005 13:34 <REP> UDL
14/02/2005 16:17 <REP> BindHopeCakeDrive
30/08/2004 21:05 <REP> QuickTime
30/08/2004 21:03 <REP> Kodak
16/01/2004 16:56 188 hpzinstall.log
20/12/2003 19:08 <REP> MSN6
09/12/2003 22:12 <REP> InterVideo
17/11/2003 14:45 62 desktop.ini
17/11/2003 14:44 <REP> Microsoft
17/11/2003 14:44 <REP> .
17/11/2003 14:44 <REP> ..
2 fichier(s) 250 octets
11 R‚p(s) 4735926272 octets libres
Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\Default User\Application Data

17/11/2003 14:45 62 desktop.ini
17/11/2003 14:44 <REP> Microsoft
17/11/2003 14:44 <REP> ..
17/11/2003 14:44 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 4735926272 octets libres
Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

07/03/2005 23:19 <REP> Identities
07/03/2005 23:19 62 desktop.ini
07/03/2005 23:19 <REP> ..
07/03/2005 23:19 <REP> Microsoft
07/03/2005 23:19 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 4735926272 octets libres
Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\Moi\Application Data

30/10/2005 18:36 <REP> Ooze Build
29/10/2005 21:48 <REP> Talkback
23/08/2005 22:23 <REP> ICQLite
25/07/2005 17:22 <REP> ABBYY
25/07/2005 17:06 <REP> EPSON
25/07/2005 13:57 <REP> Smart Panel
13/06/2005 16:00 <REP> Mozilla
12/06/2005 15:06 <REP> Wildfire
03/05/2005 17:49 <REP> Real
14/02/2005 19:15 24176 GDIPFONTCACHEV1.DAT
14/02/2005 16:17 <REP> Trustlink
12/02/2005 12:24 <REP> Lavasoft
07/04/2004 21:35 <REP> Hotbar
06/02/2004 14:06 <REP> Help
16/01/2004 17:07 <REP> Hewlett-Packard
02/01/2004 20:00 <REP> Kazaa Lite
20/12/2003 19:08 <REP> MSN6
11/12/2003 21:50 <REP> InterVideo
11/12/2003 12:01 <REP> Macromedia
01/12/2003 20:17 <REP> AdobeUM
01/12/2003 20:17 <REP> Adobe
26/11/2003 12:30 <REP> Roxio
17/11/2003 15:22 <REP> Identities
17/11/2003 15:22 62 desktop.ini
17/11/2003 15:22 <REP> Microsoft
17/11/2003 15:22 <REP> .
17/11/2003 15:22 <REP> ..
2 fichier(s) 24238 octets
25 R‚p(s) 4735918080 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\WINDOWS\Tasks

30/10/2005 18:36 256 A8D8E37691839962.job
14/02/2005 16:17 256 ABC078E79187EDEB.job
17/11/2003 14:55 6 SA.DAT
17/11/2003 14:54 65 desktop.ini
17/11/2003 14:54 <REP> ..
17/11/2003 14:54 <REP> .
4 fichier(s) 583 octets
2 R‚p(s) 4.735.918.080 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

et voici un nouveau log hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 18:52:30, on 3/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
E:\Marie\Thomas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dqdffxlrptzoh.us/bQSpB6h4LhPRv6Co88Mf9Pw_aVz5gFG8MnB/5QK9s58apJ3UIdYidgNS3yEKq6x6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lvcortgoxerbxvnlzjw.com/bQSpB6h4LhP7FyYyQWYNZqY2oZu0PTnE4iExEhKhq/Q.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {F606FFCF-875A-EA62-4238-003AF4988465} - C:\DOCUME~1\Moi\APPLIC~1\OOZEBU~1\okaybash.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.4.5.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [CAKE DRIVE FLAG BASE] C:\Documents and Settings\All Users\Application Data\BindHopeCakeDrive\boldidle.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Second Else] C:\DOCUME~1\Moi\APPLIC~1\TRUSTL~1\flaglog.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03f6b0f0fdac4f6da716/netzip/RdxIE601_fr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Certains trucs me semblent encore suspects, comme 04 weather on tray, mais n'étant pas un expert, j'aimerai des conseils. Merci

Svp, quelqun pourrait-il me conseiller?

salut

oui la 04 est un spyware

WEATHERONTRAY.EXE Application/Process Description
Below is a description of WEATHERONTRAY.EXE. This application may not be safe to have on your computer. If this application is running on your computer, it is advised that you scan your computer for both viruses and spyware/adware immediately.

fixe la

Merci ben
Vois tu encore qqch de foireux??

pardon pour le retard mais j'avais un peu de travail,

alors voilà ce qu'il faut qu'elle fasse:

lance hijack et fixe les lignes:
O2 - BHO: (no name) - {F606FFCF-875A-EA62-4238-003AF4988465} - C:\DOCUME~1\Moi\APPLIC~1\OOZEBU~1\okaybash.exe (file missing)

O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.4.5.0\WeatherOnTray.exe

O4 - HKLM\..\Run: [CAKE DRIVE FLAG BASE] C:\Documents and Settings\All Users\Application Data\BindHopeCakeDrive\boldidle.exe

O4 - HKCU\..\Run: [Second Else] C:\DOCUME~1\Moi\APPLIC~1\TRUSTL~1\flaglog.exe

valider en cliquant sur [fix checked]

ensuite
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Recherche et supprime ces dossiers:

C:\Documents and Settings\All Users\Application Data\BindHopeCakeDrive

C:\Documents and Settings\Moi\Application Data\Ooze Build

C:\Documents and Settings\Moi\Application Data\Trustlink

C:\Program Files\Hotbar << le dossier

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, tres important:

:: Supprimer les fichiers temporaires ::

vider tout le contenu des dossiers Temp avec Cleanup:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

ensuite, toujours en mode sans echec, fais:

demarrer > executer et tape cmd
dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\ABC078E79187EDEB.job

et valide

toujours dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\A8D8E37691839962.job

et valide

redemarre normallement ton pc et reposte un hijack, plus un rapport de lopxp.bat

Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.

a+

Ola, elle a encore pal mal de truc à faire je vois.
Merci beaucoup en tout cas jean pour toutes ces précisions.
a+

salut

fais tous ce que jean 38 t'a posté , c'est tres bien expliqué

j'ai l'impression que tu baisse vite les bras non ??

bye

Lol, ben où vois tu cela?
Le petit problème qui se pose, c'est que c'est pas moi qui fait les manip, mais je dois les expliquer à ma soeur via msn... Alors des fois c'est pas facile....

Par exemple: Elle n'a pas pu trouver la restauration système, quand elle cliquait sur le poste de travail puis sur propriété, elle n'avait que "général" et "raccourci"! Etrange...

lol
desolé si j'ai mal compris

Merci beaucoup en tout cas jean pour toutes ces précisions.

c'esyt le "en tous cas " qui m'a fais dire ca

pour la restauration : clique en meme temps sur la touche windows ( 2eme en bas clavier a droite barre espace ) et sur pause attn ( en haut a droite )

y'a une fenetre qui va s'ouvrir et y'a l'onglet restauration ...

bye

Merci ben mais chez moi, la touche windows est 2 case à GAUCHE de la barre d'espace!
lol a+

lol moi je l'ai a droite et a gauche !!

bref l'important c'est que t'ai trouvé la restauration

Oui merci ben

Alors merci jean, ma soeur a réussi à faire tout ce qui était demandé. Sauf que pour valider dans la fenetre" cmd dos" il faut juste faire enter? Car rien ne se passe de particulier...

Voici les log Hijack et lopxp, en esperant que ce soit clean maintenant:

Logfile of HijackThis v1.99.1
Scan saved at 18:02:07, on 5/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmplayer.exe
E:\Marie\Thomas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dqdffxlrptzoh.us/bQSpB6h4LhPRv6Co88Mf9Pw_aVz5gFG8MnB/5QK9s58apJ3UIdYidgNS3yEKq6x6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lvcortgoxerbxvnlzjw.com/bQSpB6h4LhP7FyYyQWYNZqY2oZu0PTnE4iExEhKhq/Q.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by14fd.bay14.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03f6b0f0fdac4f6da716/netzip/RdxIE601_fr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

et lopXp.bat:

Rapport fait à 18:06:32,09 le sam. 05/11/2005

Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\All Users\Application Data

18/10/2005 19:33 <REP> Adobe
25/07/2005 17:20 <REP> ABBYY
25/07/2005 13:34 <REP> UDL
30/08/2004 21:05 <REP> QuickTime
30/08/2004 21:03 <REP> Kodak
16/01/2004 16:56 188 hpzinstall.log
20/12/2003 19:08 <REP> MSN6
09/12/2003 22:12 <REP> InterVideo
17/11/2003 14:45 62 desktop.ini
17/11/2003 14:44 <REP> Microsoft
17/11/2003 14:44 <REP> .
17/11/2003 14:44 <REP> ..
2 fichier(s) 250 octets
10 R‚p(s) 7412576256 octets libres
Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\Default User\Application Data

17/11/2003 14:45 62 desktop.ini
17/11/2003 14:44 <REP> Microsoft
17/11/2003 14:44 <REP> ..
17/11/2003 14:44 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 7412576256 octets libres
Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

04/11/2005 00:12 <REP> Real
07/03/2005 23:19 <REP> Identities
07/03/2005 23:19 62 desktop.ini
07/03/2005 23:19 <REP> Microsoft
07/03/2005 23:19 <REP> ..
07/03/2005 23:19 <REP> .
1 fichier(s) 62 octets
5 R‚p(s) 7412576256 octets libres
Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\Documents and Settings\Moi\Application Data

29/10/2005 21:48 <REP> Talkback
23/08/2005 22:23 <REP> ICQLite
25/07/2005 17:22 <REP> ABBYY
25/07/2005 17:06 <REP> EPSON
25/07/2005 13:57 <REP> Smart Panel
13/06/2005 16:00 <REP> Mozilla
12/06/2005 15:06 <REP> Wildfire
03/05/2005 17:49 <REP> Real
14/02/2005 19:15 24176 GDIPFONTCACHEV1.DAT
12/02/2005 12:24 <REP> Lavasoft
07/04/2004 21:35 <REP> Hotbar
06/02/2004 14:06 <REP> Help
16/01/2004 17:07 <REP> Hewlett-Packard
02/01/2004 20:00 <REP> Kazaa Lite
20/12/2003 19:08 <REP> MSN6
11/12/2003 21:50 <REP> InterVideo
11/12/2003 12:01 <REP> Macromedia
01/12/2003 20:17 <REP> AdobeUM
01/12/2003 20:17 <REP> Adobe
26/11/2003 12:30 <REP> Roxio
17/11/2003 15:22 <REP> Identities
17/11/2003 15:22 62 desktop.ini
17/11/2003 15:22 <REP> Microsoft
17/11/2003 15:22 <REP> .
17/11/2003 15:22 <REP> ..
2 fichier(s) 24238 octets
23 R‚p(s) 7412576256 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle Programmes
Le num‚ro de s‚rie du volume est 14C8-F8BC

R‚pertoire de C:\WINDOWS\Tasks

17/11/2003 14:55 6 SA.DAT
17/11/2003 14:54 65 desktop.ini
17/11/2003 14:54 <REP> ..
17/11/2003 14:54 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 7.412.576.256 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

a+

et bien tu feliciteras ta soeur, son log est clean, lop et parti.

Lop est une cochonnerie que l'on importe en chargeant MSN plus sans faire attention et en acceptant les sponsors...

A+

Jean

salut incognito,

tu as raison sur lefonds mais les R0,1,2 et 3 sont les pages de demarrage de Iexplorer. sur le fonds on peut fixer sans pb et redefinir une page de demarrage mais ne sachant pas le choix et la page (de plus a priori sans risque), etant deonné que le psot n'est qu'un intermediaire puismsn puis post, je me concentre sur le virus et le reste ...

Bravo pour le coup d'oeil, faut plus se rater on est suivi...lol.

Amitiés.

Jean

PS mes "compétences" ne sont que celles que l'on m'a aidé a acquerir sur ce site et qu'il est bon de mettre au service des autres.

une bonne adresse pour mieux comprendre hijack, tuto fait pas notre balltrap national.

http://www.zebulon.fr/articles/HijackThis.php

Pas de soucis, le partage c'est la base²de ce site et c'est le bonheur.

A+

Jean

salut
je rectifie le tuto sur zebulon ce n est pas moi qui l ai fait lol
moi j ai fait la demo animée de hijack

trop de modestie mon cher balltrap, une erreur de ce type ne peut etre relevée que par toi... lol.

erreur de touche mais tu es tellement présent à nos yeux que je t'attribue tout .

je corrige donc, ce site de tuto que balltrap m'a indiqué et le tuto d'utilisation qu'il a réalisé et que tu trouves :

Démo : (merci a balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

mes respects cher ami.

Amitiés

Jean

merci jean
a++