Sujet Précédent Sujet Suivant

Analyse rapport hijackthis

Fermé
kevin3349 - 27 déc. 2010 à 20:10
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 28 déc. 2010 à 17:29
Bonjour,
etant novice avec l'informatique et mon ordinateur ayant des problemes pourriez vous me dire ce que donne mon rapport hijackthis. Merci beaucoup d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:42, on 27/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\HP_Administrator\Application Data\dwm.exe
C:\Documents and Settings\HP_Administrator\Application Data\Microsoft\conhost.exe
C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\csrss.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Bureau\antivirus.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ke.voila.fr/S/voila?kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.foozir.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:53192
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\csrss.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShopperReports - {100EB1FD-D03E-47fd-81F3-EE91287F9465} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {7C207950-B633-40B8-95B3-E3E08502BE44} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\HP_Administrator\Application Data\Microsoft\conhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mssend] "C:\Documents and Settings\HP_Administrator\Application Data\xssend2\svcnost.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\HP_Administrator\scriptjava.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/...
O16 - DPF: {445F47D7-E043-4BD6-82EB-7A1BD0EBA773} (CopyGuardCtrl Class) - http://www.psapoll.com/CopyGuardIE.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://lyon.metagate.francetelecom.com/dana-cached/setup/JuniperSetupSP1.cab
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: QueryExplorer Service - Unknown owner - C:\Documents and Settings\All Users\Application Data\QueryExplorer\queryexplorer117.exe
A voir également:

7 réponses

Réponse 1 / 7
Utilisateur anonyme
27 déc. 2010 à 20:22
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes tes applications en cours /!\

? Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
1
Réponse 2 / 7
Utilisateur anonyme
28 déc. 2010 à 06:57
/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
===================================================
On continu la désinfection.

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
1
Réponse 3 / 7
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 28/12/2010 à 09:23
Hello

Il faudrait d'abord passer RogueKiller, on est en présence d'un rogue là ;)

C:\Documents and Settings\HP_Administrator\Application Data\dwm.exe
C:\Documents and Settings\HP_Administrator\Application Data\Microsoft\conhost.exe
C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\csrss.exe
F3 - REG:win.ini: load=C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\csrss.exe
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\HP_Administrator\Application Data\Microsoft\conhost.exe
O4 - HKCU\..\Run: [mssend] "C:\Documents and Settings\HP_Administrator\Application Data\xssend2\svcnost.exe"


* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* S'il te demande pour un proxy, tape 1
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.


Contributeur SECURITE
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
1
Réponse 4 / 7
kevin3349
27 déc. 2010 à 22:01
Desolé pour le temps j'ai du m'absenter. Merci pour votre réponse rapide. Voici le rapport de Adremover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:25:55 le 27/12/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Administrator@YOUR-B0675FFCF4 ( )

============== RECHERCHE ==============

Service: "QueryExplorer Service" Présent

Fichier trouvé: C:\Documents and Settings\HP_Administrator\scriptjava.html
Fichier trouvé: C:\Documents and Settings\HP_Administrator\tmp1.7
Dossier trouvé: C:\Documents and Settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
Dossier trouvé: C:\Program Files\GamesBar
Dossier trouvé: C:\Program Files\Letmin
Dossier trouvé: C:\Documents and Settings\HP_Administrator\Application Data\live-player
Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\live-player
Dossier trouvé: C:\Program Files\live-player
Dossier trouvé: C:\Documents and Settings\All Users\Application Data\QueryExplorer
Dossier trouvé: C:\Program Files\QueryExplorer
Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Seekmo
Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ShopperReports
Dossier trouvé: C:\Documents and Settings\HP_Administrator\Application Data\ShopperReports3
Dossier trouvé: C:\Program Files\ShopperReports3
Fichier trouvé: C:\Documents and Settings\HP_Administrator\Local Settings\Application Data\ffqibsl_nav.dat
Fichier trouvé: C:\Documents and Settings\HP_Administrator\Local Settings\Application Data\ffqibsl.dat
Fichier trouvé: C:\Documents and Settings\HP_Administrator\Local Settings\Application Data\ffqibsl_navps.dat

Clé trouvée: HKLM\Software\Classes\CLSID\{09325003-167C-483d-A4BA-8B3122ABB432}
Clé trouvée: HKLM\Software\Classes\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227}
Clé trouvée: HKLM\Software\Classes\CLSID\{2721A8E5-BFDB-4562-9912-9E0531CA616C}
Clé trouvée: HKLM\Software\Classes\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE}
Clé trouvée: HKLM\Software\Classes\CLSID\{396CFC12-932D-496b-A0A8-5D7201E105E1}
Clé trouvée: HKLM\Software\Classes\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306}
Clé trouvée: HKLM\Software\Classes\CLSID\{60DA826C-B1C6-4358-BDEC-4837CED45470}
Clé trouvée: HKLM\Software\Classes\CLSID\{6DD76B7B-6423-4df0-9A07-84A6CAD973A0}
Clé trouvée: HKLM\Software\Classes\CLSID\{74C22317-5B90-471f-9AD2-FEC049870A16}
Clé trouvée: HKLM\Software\Classes\CLSID\{7F6CFB6A-9227-4bb8-B941-F2B067E76F51}
Clé trouvée: HKLM\Software\Classes\CLSID\{AB0EE208-DF60-4fa7-A617-C4269760033E}
Clé trouvée: HKLM\Software\Classes\CLSID\{C1089F63-7AFC-4538-B0EB-BEA0F4225A57}
Clé trouvée: HKLM\Software\Classes\CLSID\{CC7BD6F1-565C-47ce-A5BB-9C935E77B59D}
Clé trouvée: HKLM\Software\Classes\CLSID\{CFC16189-8A92-4a29-A940-60248385F426}
Clé trouvée: HKLM\Software\Classes\CLSID\{DEE758B4-C3FB-4a5b-9939-848B9C77A2FB}
Clé trouvée: HKLM\Software\Classes\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D}
Clé trouvée: HKLM\Software\Classes\CLSID\{E12AEAB6-7D12-4c07-8E36-5892EFB4DAFB}
Clé trouvée: HKLM\Software\Classes\CLSID\{E2F2C137-A782-4fb5-81AF-086156F5EB0A}
Clé trouvée: HKLM\Software\Classes\CLSID\{F1D06C9F-51F0-4476-BEDE-5DDF91BE304E}
Clé trouvée: HKLM\Software\Classes\CLSID\{F3A32DF2-7413-4fb1-B575-1AC920A17B76}
Clé trouvée: HKLM\Software\Classes\Interface\{17BF1E05-C0E8-413C-BD1F-A481EEA3B8E9}
Clé trouvée: HKLM\Software\Classes\Interface\{21BA420E-161C-413A-B21E-4E42AE1F4226}
Clé trouvée: HKLM\Software\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}
Clé trouvée: HKLM\Software\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}
Clé trouvée: HKLM\Software\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}
Clé trouvée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}
Clé trouvée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}
Clé trouvée: HKLM\Software\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}
Clé trouvée: HKLM\Software\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}
Clé trouvée: HKLM\Software\Classes\Interface\{E25DA6D6-C365-46CF-ABAF-DC5893135D7A}
Clé trouvée: HKLM\Software\Classes\Interface\{F8B4EC8A-2407-4BE0-AEE2-0F430D65A90D}
Clé trouvée: HKLM\Software\Classes\TypeLib\{02AED140-2B62-4B49-8B3B-179020CC39B9}
Clé trouvée: HKLM\Software\Classes\TypeLib\{553C08E6-F800-4DCF-BBE8-D51CD6AF5068}
Clé trouvée: HKLM\Software\Classes\TypeLib\{573F4ABB-A1A2-44ED-9BA9-A8DAD40AAC46}
Clé trouvée: HKLM\Software\Classes\TypeLib\{5FE0CEAE-CB69-40AF-A323-40F94257DACB}
Clé trouvée: HKLM\Software\Classes\TypeLib\{ACC62306-9A63-4864-BD2F-C8825D2D7EA6}
Clé trouvée: HKLM\Software\Classes\TypeLib\{F1A1892C-2A6C-4817-98B4-FF81443CBA20}
Clé trouvée: HKLM\Software\Classes\SeekmoToolbar.Toolbar
Clé trouvée: HKLM\Software\Classes\SeekmoToolbar.Toolbar.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.AsyncReporter
Clé trouvée: HKLM\Software\Classes\ShopperReports.AsyncReporter.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.CntntDic
Clé trouvée: HKLM\Software\Classes\ShopperReports.CntntDic.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.CntntDisp
Clé trouvée: HKLM\Software\Classes\ShopperReports.CntntDisp.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.Dwnldr
Clé trouvée: HKLM\Software\Classes\ShopperReports.Dwnldr.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.HbAx
Clé trouvée: HKLM\Software\Classes\ShopperReports.HbAx.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.HbGuru
Clé trouvée: HKLM\Software\Classes\ShopperReports.HbGuru.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.HbInfoBand
Clé trouvée: HKLM\Software\Classes\ShopperReports.HbInfoBand.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.IEButton
Clé trouvée: HKLM\Software\Classes\ShopperReports.IEButton.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.IEButtonA
Clé trouvée: HKLM\Software\Classes\ShopperReports.IEButtonA.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.KOPFF
Clé trouvée: HKLM\Software\Classes\ShopperReports.KOPFF.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.MozillaNvgtnTrpr
Clé trouvée: HKLM\Software\Classes\ShopperReports.MozillaNvgtnTrpr.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.MozillaPSExecuter
Clé trouvée: HKLM\Software\Classes\ShopperReports.MozillaPSExecuter.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.ReportData
Clé trouvée: HKLM\Software\Classes\ShopperReports.ReportData.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.Reporter
Clé trouvée: HKLM\Software\Classes\ShopperReports.Reporter.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.RprtCtrl
Clé trouvée: HKLM\Software\Classes\ShopperReports.RprtCtrl.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.Scopes
Clé trouvée: HKLM\Software\Classes\ShopperReports.Scopes.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.Stock
Clé trouvée: HKLM\Software\Classes\ShopperReports.Stock.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.TriggerImmidiate
Clé trouvée: HKLM\Software\Classes\ShopperReports.TriggerImmidiate.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.TriggerImmidiateOrRandomTS
Clé trouvée: HKLM\Software\Classes\ShopperReports.TriggerImmidiateOrRandomTS.1
Clé trouvée: HKLM\Software\Classes\ShopperReports.TriggerOnceInDay
Clé trouvée: HKLM\Software\Classes\ShopperReports.TriggerOnceInDay.1
Clé trouvée: HKLM\Software\Classes\AppID\BRNstIE.DLL
Clé trouvée: HKLM\Software\Classes\AppID\CmndFF.DLL
Clé trouvée: HKLM\Software\Classes\AppID\mozillaps.dll
Clé trouvée: HKLM\Software\Classes\AppID\Pltfrm.DLL
Clé trouvée: HKLM\Software\QueryExplorer
Clé trouvée: HKLM\Software\GamesBarSetup
Clé trouvée: HKLM\Software\Live-Player
Clé trouvée: HKLM\Software\ShopperReports3
Clé trouvée: HKLM\Software\Titan Poker
Clé trouvée: HKCU\Software\fcn
Clé trouvée: HKCU\Software\Live-Player
Clé trouvée: HKCU\Software\PopCap
Clé trouvée: HKCU\Software\ShopperReports3
Clé trouvée: HKCU\Software\Titan Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\live-player
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ShopperReports
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\QueryExplorer
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ShopperReportsSA
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{89F88394-3828-4D03-A0CF-8203604C3DA6}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D4233F04-1789-483C-A137-731E8F113DD5}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3}

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|ShopperReports 3.0.497.0
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790571B67659533EA998
Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|Seekmo@Seekmo.com
Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|Shopperreports@shopperreports.com


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.google.fr
Default_Search_URL: hxxp://www.google.fr
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.ke.voila.fr/S/voila?kw=
Search Page: hxxp://www.google.fr
Show_ToolBar: yes
Start Page: www.orange.fr
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://www.foozir.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 27/12/2010 (1827 Octet(s))

Fin à: 20:26:56, 27/12/2010

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
kevin3349
28 déc. 2010 à 12:03
Bonjour et merci de votre aide.

A la suite du nettoyage de Adremover l'ordinateur a redémarré et je n'ai plus de bureau, uniquement le fond d'écran. J'ai demarré internet avec le gestionnaire des taches mais je ne sais pas comment accéder au rapport de Adremover pour le poster.
Je telecharge Combo fix.
Puis je verrai pour rogue killer.
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
28 déc. 2010 à 12:05
Il vaut mieux faire l'inverse, d'abord RogueKiller
Combofix ne sera pas nécéssaire ;)
0
Réponse 6 / 7
kevin3349
28 déc. 2010 à 13:04
Ok. Voici le rapport rogue killer, j'avais deja lancé combofix, j'ai eu votre message apres.

Par contre je n'ai toujours plus de bureau.


RogueKiller V3.5.2 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 28/12/2010 13:02:10

Bad processes:

Deregistred:
HKCU\...\RUN\ mssend : "C:\Documents and Settings\HP_Administrator\Application Data\xssend2\svcnost.exe"
HKLM\...\RUN\ conhost : C:\Documents and Settings\HP_Administrator\Application Data\Microsoft\conhost.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:53192

Finished
0
kevin3349
28 déc. 2010 à 13:11
Des pages de pubs s'ouvrent toutes seules ou bien lorsque je clique sur un lien le navigateur m'envoie sur une adresse qui n'a rien a voir.
0
kevin3349
28 déc. 2010 à 13:14
Et je ne trouve pas le rapport de combofix en allant par le gestionnaire des taches.
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
28 déc. 2010 à 14:14
Le rapport doit se trouver à C:/
0
kevin3349
28 déc. 2010 à 15:14
J'ai redemarrer encore une fois le bureau est réapparu tout semble fonctionner.
Voici quand meme le rapport combo fix si jamais il ya quelequechose. Merci

ComboFix 10-12-26.01 - HP_Administrator 28/12/2010 12:42:55.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.718 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\HP_Administrator\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\HP_Administrator\Application Data\desktop.ini
C:\Documents and Settings\HP_Administrator\Application Data\dwm.exe
C:\Documents and Settings\HP_Administrator\Application Data\Microsoft\conhost.exe
C:\Documents and Settings\HP_Administrator\Application Data\xssend2
C:\Documents and Settings\HP_Administrator\Application Data\xssend2\svcnost.exe
C:\Microsoft
C:\WINDOWS\system32\drivers\srenum.sys
C:\WINDOWS\system32\msrun.exe
C:\WINDOWS\system32\Oeminfo.ini

Une copie infectée de C:\WINDOWS\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - C:\System Volume Information\_restore{DBD6825A-5CDA-496C-847B-29BCCC0E46E1}\RP470\A0079821.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2010-11-28 au 2010-12-28 ))))))))))))))))))))))))))))))))))))
.

2010-12-28 11:05:35 . 2010-12-28 11:06:53 -------- d-----w- C:\32788R22FWJFW
2010-12-27 19:25:53 . 2010-12-27 19:25:55 -------- d-----w- C:\Program Files\Ad-Remover
2010-12-27 18:39:01 . 2010-12-27 18:39:24 -------- d-----w- C:\Documents and Settings\HP_Administrator\Local Settings\Application Data\Temp
2010-12-27 18:39:00 . 2010-12-27 18:39:00 -------- d-----w- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Google
2010-12-27 18:34:42 . 2010-12-27 18:34:44 -------- d-----w- C:\Program Files\CCleaner
2010-12-27 18:34:39 . 2010-12-27 18:34:39 -------- d-----w- C:\Documents and Settings\LocalService\Local Settings\Application Data\Google
2010-12-27 18:34:31 . 2010-12-27 18:48:06 -------- d-----w- C:\Documents and Settings\HP_Administrator\Local Settings\Application Data\Google
2010-12-27 18:33:34 . 2010-12-27 18:34:31 -------- d-----w- C:\Program Files\Google
2010-12-27 18:16:30 . 2010-12-27 18:16:30 -------- d-----w- C:\Documents and Settings\HP_Administrator\Application Data\Uniblue
2010-12-27 18:16:13 . 2010-12-27 18:16:13 -------- d-----w- C:\Program Files\Uniblue
2010-12-27 18:15:57 . 2010-12-27 18:15:57 -------- d-----w- C:\Documents and Settings\HP_Administrator\Local Settings\Application Data\PackageAware
2010-12-24 12:04:21 . 2010-12-24 12:04:21 132096 ----a-w- C:\Program Files\Windows NT\dwm.exe
2010-12-24 12:04:08 . 2010-12-24 12:04:08 128000 ----a-w- C:\Program Files\Internet Explorer\conhost.exe
2010-12-24 10:33:14 . 2010-12-24 10:26:38 20480 ----a-w- C:\WINDOWS\system32\drivers\ndisrd.sys
2010-12-24 10:26:38 . 2010-12-24 10:26:38 -------- d-----w- C:\Documents and Settings\HP_Administrator\Application Data\ygjjbasizrh13wjwlapaz1wktusq3vo2
2010-12-21 07:11:19 . 2010-12-24 12:34:41 -------- d-----w- C:\Documents and Settings\Administrateur.YOUR-B0675FFCF4.002
2010-12-09 03:14:51 . 2010-12-09 03:14:51 -------- d-----r- C:\Documents and Settings\NetworkService\Favoris
2010-12-09 03:14:32 . 2010-12-09 03:14:38 -------- d-----w- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Adobe
2010-12-02 09:40:26 . 2010-12-02 09:40:26 -------- d-----w- C:\WINDOWS\system32\wbem\Repository
2010-12-02 09:35:17 . 2010-12-02 09:39:53 -------- d-s---w- C:\Documents and Settings\Administrateur.YOUR-B0675FFCF4.001

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-24 10:30:27 . 2009-01-22 18:39:44 90112 ----a-w- C:\WINDOWS\DUMP24ed.tmp
2010-10-04 12:15:56 . 2010-10-01 10:42:42 21898 ----a-w- C:\Documents and Settings\HP_Administrator\errorlog.tmp
.

------- Sigcheck -------

[-] 2008-04-14 12:00:00 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512 (xpsp.080413-2113)] . . C:\WINDOWS\system32\winlogon.exe

[-] 2008-04-14 12:00:00 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [------] . . C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-27 18:34:26 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-10-26 21:48:00 17021440]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2008-10-26 21:48:00 141848]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2008-10-26 21:48:00 166424]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2008-10-26 21:48:00 137752]
"UpdateP2GoShortCut"="C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-12-03 21:15:16 218408]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-09 18:55:54 49208]
"avast5"="C:\Program Files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 16:12:02 2838912]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2010-06-29 08:07:03 417792]
0
Réponse 7 / 7
Utilisateur anonyme
28 déc. 2010 à 16:23
Pour Tigzy
Il vaut mieux faire l'inverse, d'abord RogueKiller
Combofix ne sera pas nécéssaire ;)

C:\WINDOWS\system32\drivers\srenum.sys
C:\WINDOWS\system32\msrun.exe
C:\WINDOWS\system32\Oeminfo.ini

Une copie infectée de C:\WINDOWS\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - C:\System Volume Information\_restore{DBD6825A-5CDA-496C-847B-29BCCC0E46E1}\RP470\A0079821.exe

Pour kevin3349

Ton rapport combofix n'est pas complet et j'ai un doute sur l'efficacité de la copie winlogon.exe

Redémarres en mode sans échec et relances combofix .Post le rapport.

Mode sans echec.
* Redémarrer le PC.
* Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
* Ensuite à l'aide des flèches du clavier, sélectionner "Mode sans échec" et valider par Entrer
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.


a++


0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 28/12/2010 à 16:58
Salut Nanard ;)

Les drivers et fichiers patchés ne sont pas caractéristique de ce genre d'infections...
Je pouvais pas savoir.

méa culpa ;)

Pourquoi avoir un doute sur la copie de winlogon?
0
Utilisateur anonyme
28 déc. 2010 à 17:17
[-] 2008-04-14 12:00:00 . CFCB116CD07E72259E0289C72DD7B4F1 . 512000 . . [5.1.2600.5512 (xpsp.080413-2113)] . . C:\WINDOWS\system32\winlogon.exe

[-] 2008-04-14 12:00:00 . AB9E757EAE865B5E0B7B48697222F006 . 1037824 . . [------] . . C:\WINDOWS\explorer.exe

http://www.virustotal.com/file-scan/report.html?id=10b43dbdf8e8b2eaff0685ee96c9c3fe05189d2dd91f430ec8f719f4272cca6d-1293469489

ce sont ces 2 lignes qui me fais douter ;)
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 28/12/2010 à 17:20
Yep, mais le signcheck est fait avant ou après le remplacement ? :)

Faudrait passer un SystemLook pour voir si ya d'autres copies
0
Utilisateur anonyme
28 déc. 2010 à 17:27
Yep, mais le signcheck est fait avant ou après le remplacement ? :)
C'est pour ca justement que je lui demande un combo en mse et en comparant les deux rapports un ptit vt derrière.
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 28/12/2010 à 17:29
Ok, je croyais que tu savais, c'est pour ça que je demandais... je vous laisse continuer
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse
écrire un rapport de travail
asi -
REGINALD -

3 réponses
échec de l'analyse antivirus
StalkerShadows -
ness -

19 réponses