Sujet Précédent Sujet Suivant

99 virus

Fermé
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008 - 6 nov. 2005 à 11:11
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 - 22 déc. 2005 à 12:00
Bojour à tous
J'ai de gros probleme avec mon PC, il ralenti de jours en jours et sur le net j'ai plein de fenetres qui aparraissent
voici le rapport HIJACK...
merci d'avance pour votre aide


Logfile of HijackThis v1.99.1
Scan saved at 17:51:16, on 05/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CheckFlow\FlowProtector\5.0.0.2\FlowService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ABox.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Money\System\Money Express.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\CheckFlow\FlowProtector\FlowStarter.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\RealVNC\WinVNC\winvnc.exe
C:\Program Files\CheckFlow\FlowProtector\5.0.0.2\Fp2006.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.adzrpvgbroy.com/4HX3bMxIeTx/HrmsEsRpMyV/nsMlXwfaLV2XS9Kx34hFXIWM2XAU2RxxfHyLPcmb.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hndpnvzpxdryemlipyuba.com/4HX3bMxIeTxTyd7z_494cJ/P5kJPgGHb9o/IF47b9IM.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1347A5E3-980E-4F5F-34CE-FF550A67A977} - C:\DOCUME~1\fd\APPLIC~1\CAKECL~1\Stupid poke.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\Run: [BI1HelperStartUp] C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE /partner BI1
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~2\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [OnlineBrowseCakeSoft] C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse\hole program.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Mp3Chic] C:\DOCUME~1\fd\APPLIC~1\BALLEA~1\Bore plus delete.exe
O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Run VNC Server.lnk = C:\Program Files\RealVNC\WinVNC\winvnc.exe
O4 - Global Startup: FlowProtector2006.lnk = C:\Program Files\CheckFlow\FlowProtector\FlowStarter.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadAccess/ie/bridge-c283.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/pc/resources/activex/Ephoto.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{563FB662-2D43-40EC-85C8-6391D08CAD0E}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: FlowProtectorService - - C:\Program Files\CheckFlow\FlowProtector\5.0.0.2\FlowService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
A voir également:

31 réponses

  • 1
  • 2
Réponse 1 / 31
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
6 nov. 2005 à 11:46
salut,

alors dans un premier temps, tu as telechargé msn plus en acceptant les sponsors et te voilà avec lop.

alors tu vas refaire un log hijack et coller le log , en même temps,
1)
telecharge lopxp ici:

http://cjoint.com/?kumvZSxxY4


2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici le rapport

A+

Jean
0
Réponse 2 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
6 nov. 2005 à 12:01
Merci de passer ton temps a mon probleme
a +



Rapport fait à 11:58:24.53 le 06/11/2005

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

01/05/2005 14:24 <REP> Microsoft
01/05/2005 14:24 <REP> ..
01/05/2005 14:24 <REP> .
0 fichier(s) 0 octets
3 R‚p(s) 5581971456 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\Administrateur.FD-O6X1JQAGOPQ4\Application Data

01/05/2005 14:45 62 desktop.ini
01/05/2005 14:45 <REP> ..
01/05/2005 14:45 <REP> Microsoft
01/05/2005 14:45 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 5581955072 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\All Users\Application Data

04/11/2005 07:30 <REP> Skype
03/06/2005 20:30 <REP> Messenger Plus!
03/06/2005 20:30 <REP> Hidevgaonlinebrowse
29/04/2005 05:37 <REP> nView_Profiles
31/03/2005 09:39 <REP> Adobe
19/03/2005 13:34 62 desktop.ini
19/03/2005 13:34 <REP> Microsoft
19/03/2005 13:34 <REP> .
19/03/2005 13:34 <REP> ..
1 fichier(s) 62 octets
8 R‚p(s) 5581955072 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\Default User\Application Data

19/03/2005 13:34 62 desktop.ini
19/03/2005 13:34 <REP> Microsoft
19/03/2005 13:34 <REP> ..
19/03/2005 13:34 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 5581955072 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\fd\Application Data

04/11/2005 07:30 <REP> Skype
31/10/2005 12:05 <REP> Checkflow
16/07/2005 09:56 <REP> cake close vc
16/07/2005 08:56 <REP> Google
14/06/2005 19:53 <REP> balleachokay
30/05/2005 19:50 30352 GDIPFONTCACHEV1.DAT
06/04/2005 11:24 <REP> AdobeUM
31/03/2005 09:40 <REP> Adobe
24/03/2005 19:36 <REP> Macromedia
24/03/2005 19:36 <REP> Help
19/03/2005 14:49 <REP> Identities
19/03/2005 14:49 62 desktop.ini
19/03/2005 14:49 <REP> Microsoft
19/03/2005 14:49 <REP> .
19/03/2005 14:49 <REP> ..
2 fichier(s) 30414 octets
13 R‚p(s) 5581955072 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\WINDOWS\Tasks

06/11/2005 11:02 248 8D891B129532AE06.job
19/03/2005 13:48 6 SA.DAT
19/03/2005 13:44 65 desktop.ini
19/03/2005 13:44 <REP> ..
19/03/2005 13:44 <REP> .
3 fichier(s) 319 octets
2 R‚p(s) 5ÿ581ÿ955ÿ072 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
0
Réponse 3 / 31
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
6 nov. 2005 à 12:35
1) QUELQUES TELECHARGEMENTS

si tu ne les as pas, telecharge:

ª Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/

ª Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

ª Clean Up 40
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

ª A2 free
http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

-------------------------------------------------------------------------------------------

2) QUELQUES PARAMETRES MACHINE A MODIFIER (sous windows XP)

demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

-----------------------------------------------------------------------------------------

3) vide tes fichiers temp

Lance le progamme clean Up


-----------------------------------------------------------------------------------------

4) LANCE HIJACK
clique sur “do a system scan and save logfile”
ferme le bloc note et coche les cases devant les lignes ci-dessous, à la fin valide à l’aide du bouton fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.adzrpvgbroy.com/4HX3bMxIeTx/HrmsEsRpMyV/nsMlXwfaLV2XS9Kx34hFXIWM2XAU2RxxfHyLPcmb.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hndpnvzpxdryemlipyuba.com/4HX3bMxIeTxTyd7z_494cJ/P5kJPgGHb9o/IF47b9IM.html

O2 - BHO: (no name) - {1347A5E3-980E-4F5F-34CE-FF550A67A977} - C:\DOCUME~1\fd\APPLIC~1\CAKECL~1\Stupid poke.exe

O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe

O4 - HKLM\..\Run: [OnlineBrowseCakeSoft] C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse\hole program.exe

O4 - HKCU\..\Run: [Mp3Chic] C:\DOCUME~1\fd\APPLIC~1\BALLEA~1\Bore plus delete.exe

O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
-----------------------------------------------------------------------------------------

5) DEMARRER EN MODE SANS ECHEC.

Pour cela, redémarre et tu tapotes sur la touche F8 au lancement de Windows (juste à la fin d’initialisation du bios)et tu choisis sans échec (pas d’inquiétude pour l’aspect de l’écran, tout semble un peu étrange).


-----------------------------------------------------------------------------------------

6) SUPPRIME LES FICHIERS CI DESSOUS

C:\WINDOWS\ABox.exe

C:\WINDOWS\logon.exe

C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse ....<< le dossier

C:\Documents and Settings\fd\Application Data\ balleachokay

C:\Documents and Settings\fd\Application Data\cake close vc

C:\WINDOWS\system32\SysDrefIWv2.exe


-----------------------------------------------------------------------------------------

ensuite, toujours en mode sans echec, fais:

demarrer > executer et tape cmd
dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\8D891B129532AE06.job
et valide

---------------------------------------------------------------------------
Utilise cleanup


-----------------------------------------------------------------------------

7) MAINTENANT UTILISE LES PROGRAMMES

tu lances tes scan
ªad aware
ªspy boot
ªa2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle

-----------------------------------------------------------------------------------------

8) RESTAURATION DES PARAMETRES INITIAUX

c'est à dire redémarrer en mode normal, tu refais les manip de départ 2) (A) et (B) mais dans l’autre sens ... pour retrouver la config de départ.

-----------------------------------------------------------------------------------------

9) LOG DE CONTROLE

Relance Hijack
clic sur "do a system scan and save logfile"
fais un copier coller du log entier ici.


A+
0
Réponse 4 / 31
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
6 nov. 2005 à 12:40
zut,

j'ai oublié, en fixant dans hijack, rajoute les lignes:

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadAccess/ie/bridge-c283.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab

O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/pc/resources/activex/Ephoto.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
6 nov. 2005 à 20:01
Bonsoir Jean
je te remercie pour ton aide
Je suis en déplacement toute la semaine mais je m'ocupe de mon PC vendredi
c'est sympa de passer ton temps aux problemes des autres
merci
0
Réponse 6 / 31
jean38 Messages postés 2534 Date d'inscription samedi 16 avril 2005 Statut Contributeur Dernière intervention 17 juillet 2017 47
6 nov. 2005 à 20:01
plaisir partagé, je suis en deplacement toute la semaine egalement donc à Vendredi (je rentre Jeudi dans la nuits).

A+

Jean
0
Réponse 7 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 13:50
Bonjour Jean 38
J'ai été un peu long
j'ai fais ce que tu m'a dit
merci beaucoup
comme prévu je colle le rapport
merci encore


Logfile of HijackThis v1.99.1
Scan saved at 13:47:40, on 11/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CheckFlow\FlowProtector\5.0.0.2\FlowService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Money\System\Money Express.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\CheckFlow\FlowProtector\FlowStarter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\CheckFlow\FlowProtector\5.0.0.2\Fp2006.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rdyzlmbcwlpbjsunoxlwbh.info/4HX3bMxIeTx/HrmsEsRpMyV/nsMlXwfaLV2XS9Kx34gvpiMfbprk0RxxfHyLPcmb.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BI1HelperStartUp] C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE /partner BI1
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~2\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [OnlineBrowseCakeSoft] C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse\Team Date.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Run VNC Server.lnk = C:\Program Files\RealVNC\WinVNC\winvnc.exe
O4 - Global Startup: FlowProtector2006.lnk = C:\Program Files\CheckFlow\FlowProtector\FlowStarter.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{563FB662-2D43-40EC-85C8-6391D08CAD0E}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: FlowProtectorService - - C:\Program Files\CheckFlow\FlowProtector\5.0.0.2\FlowService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
0
Réponse 8 / 31
Utilisateur anonyme
11 nov. 2005 à 15:18
Salut fabrice
Peux tu remettre un lopxp egalement stp

a+
0
Réponse 9 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 15:37
escuse moi
je ne sais pas ce que sait

merci de ton aide Jean
0
Réponse 10 / 31
Utilisateur anonyme
11 nov. 2005 à 15:42
salut fabrice
moi c est regis lol

Télécharge lopxp ici:


http://cjoint.com/?lkw4SB2o7O


2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+
0
Réponse 11 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 15:42
escuse Régis
je me suis trompé de prénom
0
Réponse 12 / 31
Utilisateur anonyme
11 nov. 2005 à 15:44
Pas grave, Jean est la secretaire de regis lol

c est ce que tu avais fait si je me souviens bien au poste 2
0
Réponse 13 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 15:58
Merci regis59






Rapport fait à 15:57:21.85 le 11/11/2005

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

01/05/2005 14:24 <REP> Microsoft
01/05/2005 14:24 <REP> ..
01/05/2005 14:24 <REP> .
0 fichier(s) 0 octets
3 R‚p(s) 474664960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\Administrateur.FD-O6X1JQAGOPQ4\Application Data

01/05/2005 14:45 62 desktop.ini
01/05/2005 14:45 <REP> ..
01/05/2005 14:45 <REP> Microsoft
01/05/2005 14:45 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 474660864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\All Users\Application Data

06/11/2005 14:06 <REP> Spybot - Search & Destroy
04/11/2005 07:30 <REP> Skype
03/06/2005 20:30 <REP> Messenger Plus!
29/04/2005 05:37 <REP> nView_Profiles
31/03/2005 09:39 <REP> Adobe
19/03/2005 13:34 62 desktop.ini
19/03/2005 13:34 <REP> Microsoft
19/03/2005 13:34 <REP> .
19/03/2005 13:34 <REP> ..
1 fichier(s) 62 octets
8 R‚p(s) 474660864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\Default User\Application Data

19/03/2005 13:34 62 desktop.ini
19/03/2005 13:34 <REP> Microsoft
19/03/2005 13:34 <REP> ..
19/03/2005 13:34 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 474660864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\Documents and Settings\fd\Application Data

11/11/2005 11:53 <REP> Lavasoft
04/11/2005 07:30 <REP> Skype
31/10/2005 12:05 <REP> Checkflow
16/07/2005 08:56 <REP> Google
30/05/2005 19:50 30352 GDIPFONTCACHEV1.DAT
06/04/2005 11:24 <REP> AdobeUM
31/03/2005 09:40 <REP> Adobe
24/03/2005 19:36 <REP> Macromedia
24/03/2005 19:36 <REP> Help
19/03/2005 14:49 <REP> Identities
19/03/2005 14:49 62 desktop.ini
19/03/2005 14:49 <REP> Microsoft
19/03/2005 14:49 <REP> .
19/03/2005 14:49 <REP> ..
2 fichier(s) 30414 octets
12 R‚p(s) 474660864 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D4BC-970B

R‚pertoire de C:\WINDOWS\Tasks

06/11/2005 20:49 248 ADA3A21B91045413.job
19/03/2005 13:48 6 SA.DAT
19/03/2005 13:44 65 desktop.ini
19/03/2005 13:44 <REP> ..
19/03/2005 13:44 <REP> .
3 fichier(s) 319 octets
2 R‚p(s) 474ÿ660ÿ864 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
0
Réponse 14 / 31
Utilisateur anonyme
11 nov. 2005 à 16:25
Bonjour,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

Déconnecte toi d'Internet et ferme tout les programmes en cours.

Dans ajout/suppression de programme, desinstalle ceci:
AQUATI...

 Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

 Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rdyzlmbcwlpbjsunoxlwbh.info/4HX3bMxIeTx/HrmsEsRpMyV/nsMlXwfaLV2XS9Kx3 4gvpiMfbprk0RxxfHyLPcmb.html

O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~2\AQ3HEL~1.EXE /partner AQ3

O4 - HKLM\..\Run: [OnlineBrowseCakeSoft] C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse\Team Date.exe

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\ADA3A21B91045413.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

vider tout le contenu de ces dossiers.

* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp

:: Le contenu du dossier prefetch ::

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

* Ne pas oublier de vider la corbeille !

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

Précises moi ou en sont tes soucis…

A+
0
Réponse 15 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 16:40
Je n'ai plus de soucis , mais comment etre sur de ne plus avoir de virus ?
merci beaucoup




Logfile of HijackThis v1.99.1
Scan saved at 16:38:23, on 11/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rdyzlmbcwlpbjsunoxlwbh.info/4HX3bMxIeTx/HrmsEsRpMyV/nsMlXwfaLV2XS9Kx34gvpiMfbprk0RxxfHyLPcmb.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BI1HelperStartUp] C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE /partner BI1
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~2\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [OnlineBrowseCakeSoft] C:\Documents and Settings\All Users\Application Data\Hidevgaonlinebrowse\Team Date.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Run VNC Server.lnk = C:\Program Files\RealVNC\WinVNC\winvnc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
0
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
11 nov. 2005 à 16:47
Bonsoir Fabrice02200, c'est ton code postal ?
Salut maitre Régis59 ;-)

Il te reste quelques vacheries, relances hijackthie et fix les lignes ci dessous.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rdyzlmbcwlpbjsunoxlwbh.info/4HX3bMxIeTx/HrmsEsRpMyV/nsMlXwfaLV2XS9Kx34gvpiMfbprk0RxxfHyLPcmb.ht
O4 - HKLM\..\Run: [BI1HelperStartUp] C:\PROGRA~1\BEACHI~1\BI1HEL~1.EXE /partner BI1
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~2\AQ3HEL~1.EXE /partner AQ3

Corriges moi si je me trompe Régis59 ...

a+


0
Réponse 16 / 31
Utilisateur anonyme
11 nov. 2005 à 16:42
re,
tu as fait ce que je te demande?
Je ne penses pas, car tu n as pas de une desinstaller AQUATI, prkoi?

a+
0
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
11 nov. 2005 à 16:49
Oups,

excuses moi Quentin ...; tu as été plus rapide ...

Comment vas tu Amigo ?

a+
0
Réponse 17 / 31
Utilisateur anonyme
11 nov. 2005 à 16:50
salut incognito,
regarde bien au dessu, j ai mis la manip mais je ne sais s il la appliqué, vu qu il reste tout ce que j avais demander d enlever

Ces 2 la, il faut les desinstaller par panneau de config < ajout/suppression de programme

BEACHI
AQUATI

a+
0
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
11 nov. 2005 à 16:53
re,

je pensais que Fabrice avait suivi tes consignes mais qu'il restait quelques traces dans la bdr.

A+
0
Réponse 18 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 17:11
non ce n'ai pas mon code postal
0
Réponse 19 / 31
fabrice02200 Messages postés 23 Date d'inscription samedi 5 novembre 2005 Statut Membre Dernière intervention 7 juillet 2008
11 nov. 2005 à 17:15
Je n'ai pas ca dans ajout et suppression


BEACHI
AQUATI
0
Réponse 20 / 31
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
11 nov. 2005 à 17:29
re,

et dans c:\Program Files as tu des repertoires qui commencent par :
BEACHI
AQUATI


0

Discussions similaires

Voxbone ? qui est-ce ?
fanfan54 -
djakool4 -

158 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses