Sujet Précédent Sujet Suivant

[virus] infecté par un trojan downloader...

Résolu
snooker_1176 Messages postés 168 Statut Membre -  
snooker_1176 Messages postés 168 Statut Membre -
Bonsoir à toutes et à tous.
Me voici de retour afin de vous exposer un nouveau problème:
depuis quelques jours, j'ai de nombreuses attaques virales, créées par
trojan-downloader.win32.swizzor.dv
Ma question est la suivante, comment éradiquer le ou les fichiers contaminés?
A ma connaissance, il y en a, au moins, 2.
Si quelqu'un pouvait également m'informer sur ce virus, merci d'avance.
Bonne lecture à tous...
Yannick.
A voir également:

16 réponses

Réponse 1 / 16
Utilisateur anonyme
 
Salut,

fait ça pour que l'on puisse peut etre voir ou il se cache

Télécharge HijackThis:
Téléchargement de HijackThis

Installe le dans son propre dossier:
-clic droit sur le bureau, choisis "nouveau dossier" puis installe le dedans.
Lance le, clic sur "do a system scan and save logfile"
Puis copie et colle le rapport ici stp
0
snooker_1176 Messages postés 168 Statut Membre 2
 
Bonsoir bouldepate. En réponse à ton message, je te donne le rapport HijackThis:
Bonne lecture (c'est du chinois pour moi ;p)
---------------------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 23:04:30, on 20/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguiexe.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Yannick\LOCALS~1\Temp\Rar$EX00.875\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {21E46FE1-9E89-52C3-B507-E8D07284B995} - C:\DOCUME~1\Yannick\APPLIC~1\MOREPA~1\Aimcast.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\av_fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [okay title grey aim] C:\Documents and Settings\All Users\Application Data\VC IDOL OKAY TITLE\warn mpeg.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKCU\..\Run: [toollog] C:\DOCUME~1\Yannick\APPLIC~1\PLANBO~1\SoftwareGplStore.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BCCCC02-4110-4DB5-968D-C6EFC61C75E4}: NameServer = 80.10.246.134 80.10.246.7
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

0
Réponse 2 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Petite info, au cas où...:
Un des fichiers infectés (du moins, ce ceux qui rappellent le virus), se trouve sous =>

c:\documents and settings\yannick\local settings\temporary internet files\content.ie5\1nrjhse\upayb[1].int.

Bon courage et merci d'avance.
0
Réponse 3 / 16
Utilisateur anonyme
 
Salut,

on va faire un peu le nettoyage rien ne sera supprimé sauf si indiqué

---
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
O2 - BHO: (no name) - {21E46FE1-9E89-52C3-B507-E8D07284B995} - C:\DOCUME~1\Yannick\APPLIC~1\MOREPA~1\Aimcast.exe (file missing)
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [okay title grey aim] C:\Documents and Settings\All Users\Application Data\VC IDOL OKAY TITLE\warn mpeg.exe
O4 - HKCU\..\Run: [toollog] C:\DOCUME~1\Yannick\APPLIC~1\PLANBO~1\SoftwareGplStore.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

fait ça:

Pour afficher tous les dossiers et fichiers cachés;

Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"
"
Coche:
¤ afficher les fichiers et dossiers cachés
Clic sur "appliquer" puis "ok"

Clic sur demarrer, poste de travail, C:, documents and setting, all users, application data, et supprime ce dossier:

VC IDOL OKAY TITLE

même chose avec le dossier Yannick:

MOREPA.. < commence par MOREPA
PLANBO.. < commence par PLANBO

Fait ce nettoyage: (à faire réguliérement)

¤Telecharges et installes ceci:
CCleaner:
Télécharger Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"

Télécharge lopxp:
http://pageperso.aol.fr/balltrap34/lopxp.zip

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxp.bat"
quand il à terminé, un rapport s'ouvre : fais un copier-coller puis mets le ici

A++
0
Réponse 4 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
VC IDOL OKAY TITLE -> "impossible de supprimer PLAYLOADMPEG: Cette ressource est utilisée par une autre personne ou un autre programme. Fermez les programmes susceptibles d'utiliser le fichier et essayez à nouveau"
PLANBO.. < commence par PLANBO -> "Impossible de supprimer SoftwareGplStore: accès refusé. Vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement".

En bref, je n'ai pu supprimer que "MOREPA.. ".
C'est vraiment pas drôle.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Voici la suite du processus.
Nettoyage avec CCleaner OK
Je te dépose le rapport
---------------------------------------------------------------------------------------
Rapport fait à 0:57:10,18 le 21/09/2006

Le volume dans le lecteur C s'appelle HDD
Le num‚ro de s‚rie du volume est E815-32DF

R‚pertoire de C:\Documents and Settings\All Users\Application Data

23/04/2006 12:26 <REP> WinAntiVirus Pro 2006
20/04/2006 22:23 <REP> VC IDOL OKAY TITLE
11/04/2006 23:41 <REP> Skype
26/02/2006 01:11 <REP> Adobe
11/08/2005 21:43 <REP> Messenger Plus!
04/06/2004 21:32 <REP> Ulead Systems
28/03/2004 10:38 <REP> ScanSoft
13/03/2004 20:54 <REP> Canon
12/03/2004 16:40 <REP> MSN6
10/03/2004 21:54 <REP> CyberLink
10/03/2004 21:48 <REP> QuickTime
30/09/2002 15:00 <REP> SBSI
30/09/2002 13:55 62 desktop.ini
30/09/2002 13:54 <REP> Microsoft
30/09/2002 13:54 <REP> .
30/09/2002 13:54 <REP> ..
1 fichier(s) 62 octets
15 R‚p(s) 91669094400 octets libres
Le volume dans le lecteur C s'appelle HDD
Le num‚ro de s‚rie du volume est E815-32DF

R‚pertoire de C:\Documents and Settings\Default User\Application Data

10/03/2004 21:59 <REP> InterTrust
10/03/2004 21:59 <REP> Adobe
10/03/2004 21:59 <REP> Identities
10/03/2004 21:59 <REP> Real
30/09/2002 13:55 62 desktop.ini
30/09/2002 13:54 <REP> Microsoft
30/09/2002 13:54 <REP> ..
30/09/2002 13:54 <REP> .
1 fichier(s) 62 octets
7 R‚p(s) 91669094400 octets libres
Le volume dans le lecteur C s'appelle HDD
Le num‚ro de s‚rie du volume est E815-32DF

R‚pertoire de C:\Documents and Settings\Propri‚taire

Le volume dans le lecteur C s'appelle HDD
Le num‚ro de s‚rie du volume est E815-32DF

R‚pertoire de C:\Documents and Settings\Yannick\Application Data

08/08/2006 00:10 <REP> Mozilla
23/04/2006 12:26 <REP> WinAntiVirus Pro 2006
20/04/2006 22:21 <REP> Plan book site
11/04/2006 23:41 <REP> Skype
17/01/2006 15:52 <REP> ispnews
26/12/2005 23:38 <REP> AdobeUM
12/11/2005 15:56 <REP> Microsoft Web Folders
23/10/2005 12:17 <REP> KeySafe
07/06/2004 23:00 87216 GDIPFONTCACHEV1.DAT
06/06/2004 11:52 <REP> Serif
04/06/2004 21:32 <REP> Ulead Systems
31/03/2004 22:24 <REP> Macromedia
28/03/2004 12:25 <REP> VERITAS
20/03/2004 23:26 <REP> Help
12/03/2004 16:40 <REP> MSN6
10/03/2004 21:59 62 desktop.ini
10/03/2004 21:59 <REP> Adobe
10/03/2004 21:59 <REP> Identities
10/03/2004 21:59 <REP> InterTrust
10/03/2004 21:59 <REP> Real
10/03/2004 21:59 <REP> ..
10/03/2004 21:59 <REP> Microsoft
10/03/2004 21:59 <REP> .
2 fichier(s) 87278 octets
21 R‚p(s) 91669094400 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle HDD
Le num‚ro de s‚rie du volume est E815-32DF

R‚pertoire de C:\WINDOWS\Tasks

20/04/2006 22:24 266 B159BECA90AE3B92.job
17/01/2006 15:56 588 Scheduled scanning task.job
10/03/2004 21:59 258 Rappel d'enregistrement 3.job
30/09/2002 14:04 6 SA.DAT
30/09/2002 14:02 <REP> ..
30/09/2002 14:02 <REP> .
30/09/2002 13:49 65 desktop.ini
5 fichier(s) 1ÿ183 octets
2 R‚p(s) 91ÿ669ÿ098ÿ496 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

Bon courage, bonne nuit et merci pour tes précieux conseils. Malheureusement, Morphée m'appelle car boulot à 5h tout à l'heure.
Je reprendrais la suite demain.
Tchao et encore merci.
Yannick.
0
Utilisateur anonyme
 
Pour les fichiers qui resistaient, il faut que tu les supprime en mode sans echec

**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement



Fait ça:

Pour afficher tous les dossiers et fichiers cachés;

Clic sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"
"
Coche:
¤ afficher les fichiers et dossiers cachés
Clic sur "appliquer" puis "ok"


Clic sur demarrer, poste de travail, C:, documents and settings, all users, application data et supprime ces dossiers

WinAntiVirus Pro 2006 < si tu l'as installé(malheuresement je crois que oui) n'y touche pas pour le moment
VC IDOL OKAY TITLE

__
Clic sur demarrer, poste de travail, C:, Windows, cherche et vide le contenu de ce dossier

Tasks


Si tu as installé Winantivirus Pro 2006, redemarre en mode sans echec, essaye de le supprimer via le paneau de configuration, ajouter/supprimer des programmes

Si ça fonctionne pas, Clic sur C:, program files et supprime le dossier

En même temp, clic sur C:, documents and settings, all users, application data et supprime le dossier

WinAntiVirus Pro 2006

Même chose dans le dossier Yannick


**Mode sans echec
Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement

puis remet un rapport hijackthis

A++
0
Réponse 6 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Bonsoir Boulepate.
Ca y est, j'ai fait tout ce qui m'était indiqué. Je te joins le nouveau rapport Hijackthis.
Par contre, WinAntiVirus Pro 2006 n'était ni dans "Ajout/Suppression", ni dans "Program Files". Juste dans "documents and settings sous all users et Yannick".
----------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 21:46:03, on 21/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguiexe.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Yannick\LOCALS~1\Temp\Rar$EX07.547\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {21E46FE1-9E89-52C3-B507-E8D07284B995} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\av_fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\av_fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [okay title grey aim] C:\Documents and Settings\All Users\Application Data\VC IDOL OKAY TITLE\warn mpeg.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKCU\..\Run: [toollog] C:\DOCUME~1\Yannick\APPLIC~1\PLANBO~1\SoftwareGplStore.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BCCCC02-4110-4DB5-968D-C6EFC61C75E4}: NameServer = 80.10.246.134 80.10.246.7
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

0
Utilisateur anonyme
 
Salut Snooker

tu peux alors supprimer le dossier WinAntivirus

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
O2 - BHO: (no name) - {21E46FE1-9E89-52C3-B507-E8D07284B995} - (no file)
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [okay title grey aim] C:\Documents and Settings\All Users\Application Data\VC IDOL OKAY TITLE\warn mpeg.exe
O4 - HKCU\..\Run: [toollog] C:\DOCUME~1\Yannick\APPLIC~1\PLANBO~1\SoftwareGplStore.exe
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
- Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?


Clic sur demarer, poste de travail, C:, documents and setings, all users, application data, supprime ce dossier:

WinAnti..
VC IDOL OKAY TITLE


même chose avec ce dossier Yannick

PLANBO < commence par PLANBO

**Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement


Puis fait ça:

telecharge ça:
http://download.bleepingcomputer.com/sUBs/combofix.exe

appuyes sur "Y" pour continuer

Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp
0
snooker_1176 Messages postés 168 Statut Membre 2 > Utilisateur anonyme
 
suite...
Combofix est en cours d'analyse.
Par contre, j'ai regardé les dossiers que j'ai supprimé à l'étape précédente (post 8 ou 9), ils n'y sont pas. Je pense donc qu'ils ont bien été supprimés en mode sans Echec.
Je te joins le rapport de combofix...
Yannick - 06-09-21 22:51:38,57 Service Pack 1
ComboFix 06.09.21 - Running from: "C:\Program Files\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-08-21 to 2006-09-21 ))))))))))))))))))))))))))))))))))


2006-09-13 17:26 57,344 -ra------ C:\WINDOWS\system32\cnxtsdk.dll
2006-09-13 17:26 11,562 -ra------ C:\WINDOWS\system32\hsfinst.dll
2006-09-13 17:20 9,759 --a------ C:\WINDOWS\system32\HSF_INST.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-21 22:51 -------- d-------- C:\Program Files\Mozilla Firefox
2006-09-21 22:46 -------- d-------- C:\Program Files\Wanadoo
2006-09-21 00:50 -------- d-------- C:\Program Files\ewido anti-malware
2006-09-21 00:42 -------- d-------- C:\Program Files\CCleaner
2006-09-13 18:12 -------- d-------- C:\Program Files\Messager Wanadoo
2006-09-13 17:26 -------- d-------- C:\Program Files\CONEXANT
2006-09-06 21:11 -------- d-------- C:\Program Files\eMule
2006-08-08 00:10 -------- d-------- C:\Documents and Settings\Yannick\Application Data\Mozilla


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="\"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="C:\\PROGRA~1\\Wanadoo\\CnxMon.exe"
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\TaskbarIcon.exe"
"ATIPTA"="C:\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"ATIModeChange"="Ati2mdxx.exe"
"ACTIVBOARD"="c:\\apps\\ABoard\\ABoard.exe"
"WorksFUD"="C:\\Program Files\\Microsoft Works\\wkfud.exe"
"F-Secure Manager"="\"C:\\Program Files\\Securitoo\\av_fw\\Common\\FSM32.EXE\" /splash"
"F-Secure TNB"="\"C:\\Program Files\\Securitoo\\av_fw\\TNB\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
"F-Secure Startup Wizard"="\"C:\\Program Files\\Securitoo\\av_fw\\FSGUI\\FSSW.EXE\" /reboot"
"News Service"="\"C:\\Program Files\\Securitoo\\av_fw\\FSGUI\\ispnews.exe\""
"MessagerStarter Wanadoo"="C:\\PROGRA~1\\MESSAG~1\\StartMessager.exe Messager Wanadoo"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,aa,00,00,00,00,00,00,00,56,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,aa,00,00,00,00,00,00,00,56,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDrives"=dword:0000e000
"NoDriveAutoRun"=dword:0000e000
"NoCDBurning"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060921-223728-434
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
backup-20060921-223728-620
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
backup-20060921-223728-577
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
backup-20060921-223728-379
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
backup-20060921-223728-575
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
backup-20060921-223728-994
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
backup-20060921-223728-250
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
backup-20060921-223728-579
O4 - HKCU\..\Run: [toollog] C:\DOCUME~1\Yannick\APPLIC~1\PLANBO~1\SoftwareGplStore.exe
backup-20060921-223728-587
O4 - HKLM\..\Run: [okay title grey aim] C:\Documents and Settings\All Users\Application Data\VC IDOL OKAY TITLE\warn mpeg.exe
backup-20060921-223728-381
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
backup-20060921-223728-158
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
backup-20060921-223728-695
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
backup-20060921-223728-558
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
backup-20060921-223728-359
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
backup-20060921-223728-800
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
backup-20060921-223728-517
O2 - BHO: (no name) - {21E46FE1-9E89-52C3-B507-E8D07284B995} - (no file)
backup-20060921-223728-122
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
backup-20060921-223728-873
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
backup-20060921-223728-603
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\B159BECA90AE3B92.job
C:\WINDOWS\tasks\Rappel d'enregistrement 3.job
C:\WINDOWS\tasks\Scheduled scanning task.job

Completion time: 21/09/2006 22:52:43.89
ComboFix.txt
0
Réponse 7 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Par contre, je viens de me rendre compte que "VC IDOL OKAY TITTLE" et "PLANBOOKSITE" sont toujours là! Comment ce fait-ce?
Alors que je les ai supprimé en mode sans échec.
A bientôt, Yannick.
0
Réponse 8 / 16
Utilisateur anonyme
 
ok, c'est bon, tu peux jeter Combo

Fait ce scan on verar ce que ça donne :-)

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

_Online Scanner
_Kaspersky Online Scanner
_My Computer

https://www.kaspersky.fr/downloads
0
snooker_1176 Messages postés 168 Statut Membre 2
 
Salut Boulepate.
Je t'envoie le dernier rapport que tu m'as demandé de faire. A priori, aucun virus présent.
Dans l'attente de tes nouvelles, je te souhaite bonne lecture...
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Friday, September 22, 2006 8:29:10 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 22/09/2006
Kaspersky Anti-Virus database records: 212289


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
G:\

Scan Statistics
Total number of scanned objects 61929
Number of viruses found 0
Number of infected objects 0 / 0
Number of suspicious objects 0
Duration of the scan process 02:24:25

Infected Object Name Virus Name Last Action
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Yannick\Application Data\ispnews\ispn.ini Object is locked skipped

C:\Documents and Settings\Yannick\Application Data\ispnews\ispnc.items Object is locked skipped

C:\Documents and Settings\Yannick\Application Data\ispnews\ispnr.items Object is locked skipped

C:\Documents and Settings\Yannick\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Yannick\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Yannick\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Yannick\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Yannick\Local Settings\Historique\History.IE5\MSHist012006092220060923\index.dat Object is locked skipped

C:\Documents and Settings\Yannick\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Yannick\ntuser.dat Object is locked skipped

C:\Documents and Settings\Yannick\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Securitoo\av_fw\Anti-Virus\error.htm Object is locked skipped

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSAV_CMD.HTM Object is locked skipped

C:\Program Files\Securitoo\av_fw\Anti-Virus\infect.htm Object is locked skipped

C:\Program Files\Securitoo\av_fw\Anti-Virus\REPORT.TXT Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\chandir.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\chandir.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\chn.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\chn.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\D0000000.FCS Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\inuse.txt Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\L0000001.FCS Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\main.log Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_die.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_die.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_dnd.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_dnd.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_ext.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_ext.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_rcv.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\prs_rcv.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\storydb.dat Object is locked skipped

C:\Program Files\Securitoo\av_fw\backweb\8520111\Users\Default\Data\storydb.idx Object is locked skipped

C:\Program Files\Securitoo\av_fw\Common\admin.pub Object is locked skipped

C:\Program Files\Securitoo\av_fw\Common\policy.bpf Object is locked skipped

C:\Program Files\Securitoo\av_fw\Common\policy.ipf Object is locked skipped

C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP420\change.log Object is locked skipped

C:\WINDOWS\$_hpcst$.hpc Object is locked skipped

C:\WINDOWS\Debug\oakley.log Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\ModemLog_OLITEC PCI V92 Ready V2 Data,Fax Modem.txt Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.
0
Réponse 9 / 16
Utilisateur anonyme
 
Salut Snooker

ok, c'est bon pour ce rapport fait encore ces deux choses pour verifier

Fait ceci:
Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp

Puis:

Télécharges Blacklight et sauvegarde le sur ton bureau.
https://www.f-secure.com/en
Double cliques sur " blbeta.exe " et acceptes la licence; clic sur "Scan" puis "Next"

Un rapport, va se créer sur ton bureau "fslb-....."

Copies et colles le contenu de ce rapport ici.

Ne touche à rien d'autre!

A++
0
Réponse 10 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Rebonsoir Boulepate.
Je te fais suivre le rapport Smitfraudfix...

---------------------------------------------------------------------------------------------------------------------------------

SmitFraudFix v2.98

Rapport fait à 22:06:18,13, 22/09/2006
Executé à partir de C:\Documents and Settings\Yannick\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yannick\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Yannick\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 11 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Par contre, comment puis-je faire pour le rapport de F_Secure?
J'ai fais l'analyse et il ne m'a créé aucun rapport :(
0
Réponse 12 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
4ème tentative d'envoi ( pardon d'insister Ô grand modérateur, si tu lis ce message)
J'ai trouvé le rapport, que je t'envoie de suite...

---------------------------------------------------------------------------------

09/22/06 22:30:18 [Info]: BlackLight Engine 1.0.46 initialized
09/22/06 22:30:18 [Info]: OS: 5.1 build 2600 (Service Pack 1)
09/22/06 22:30:19 [Note]: 7019 4
09/22/06 22:30:19 [Note]: 7005 0
09/22/06 22:30:26 [Note]: 7006 0
09/22/06 22:30:26 [Note]: 7011 1368
09/22/06 22:30:26 [Note]: 7026 0
09/22/06 22:30:26 [Note]: 7026 0
09/22/06 22:30:51 [Note]: FSRAW library version 1.7.1019
09/22/06 22:36:07 [Note]: 7007 0
0
Réponse 13 / 16
Utilisateur anonyme
 
bon bah ça me semble propre :-)

ou en est ton probléme ?
0
Réponse 14 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Re Boulepate!
A priori, ça a l'air d'aller!
Je n'ai plus de messages de mon antivirus dûs à ce Trojan.
Il me semble alors que le problème est reglé.
Je te remercie pour tes précieux conseils et tâcherai de t'aider un jour, si toutefois mes très modestes connaissances peuvent te servir.
Encore merci...
Yannick.

-----------------------------------------------------------------------------------

La Technique... 2 qui la tienne et...
3 qui l'applique
0
Réponse 15 / 16
Utilisateur anonyme
 
ok, c'est cool alors :-)

hésite pas si tu as des questions/problémes le forum est là ;-)

Bon surf !

A++
0
Réponse 16 / 16
snooker_1176 Messages postés 168 Statut Membre 2
 
Merci, bon surf à toi aussi ;p
Je m'en vais de ce pas cocher la case "problème réglé".
Tchaôoooooooooooo, et au plaisir de te lire à nouveau
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses