SOS ADFIRSTSOLUTION

Résolu
HENEZE Messages postés 11 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Je suis infecté par le adware adfirstsolution, si je trouve le mec qui a edité ce virus, il finit dans la seine. En attendant, si qqun peut m'aider, voici mon rapport hijack.

Merci d'avance pour vos lumieres.

Logfile of HijackThis v1.99.1
Scan saved at 16:11:35, on 15/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moi\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Virtual PDF Printer] C:\Program Files\Virtual PDF Printer\VirtualPDFPrinter.exe
O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [waitsoftgridtwo] C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft\remoteooze.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GramProxy] C:\DOCUME~1\moi\APPLIC~1\LOGEGG~1\Internet dvd delete.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Configuration: Windows XP
Firefox 2.0

4 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Commence par ceci stp :

    Télécharge lopxp ici: (de moe)

    http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

    2) dezippe le (clic droit dessus > extraire tout)
    et lance lopxp.bat
    le bloc note va s'ouvrir, copie et colle le contenu dans ta réponse.

    Par ailleurs, j'ai regardé un peu vite ou tu n'as pas de parefeu ?

    @+
    0
    1. HENEZE Messages postés 11 Statut Membre 1
       
      apport fait à 22:06:41,70 le 15/12/2006

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      13/12/2006 22:55 <REP> PC Drivers Headquarters
      07/12/2006 13:50 <REP> Spybot - Search & Destroy
      05/12/2006 22:53 <REP> Microsoft Help
      05/12/2006 21:29 <REP> BorePopWaitSoft
      25/10/2006 14:21 <REP> Macromedia
      12/10/2006 15:25 <REP> VideoEgg
      15/09/2006 14:39 <REP> Google
      02/08/2006 00:05 <REP> Apple Computer
      30/07/2006 15:20 <REP> Windows Genuine Advantage
      08/07/2006 12:27 <REP> avg7
      08/07/2006 12:27 <REP> Grisoft
      05/07/2006 01:55 <REP> Skype
      23/06/2006 14:36 <REP> Macrovision
      23/06/2006 14:34 <REP> Adobe
      20/02/2006 08:32 <REP> SBSI
      20/02/2006 08:32 <REP> ..
      20/02/2006 08:32 <REP> Microsoft
      20/02/2006 08:32 <REP> .
      20/02/2006 00:21 <REP> HP
      20/02/2006 00:21 <REP> CyberLink
      20/02/2006 00:14 <REP> Symantec
      20/02/2006 00:08 <REP> InstallShield
      19/02/2006 23:54 <REP> Sonic
      19/02/2006 23:53 373 hpzinstall.log
      17/08/2004 12:06 62 desktop.ini
      2 fichier(s) 435 octets
      23 R‚p(s) 6210940928 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\Default User\Application Data

      15/05/2006 12:03 <REP> Identities
      20/02/2006 08:32 <REP> Microsoft
      20/02/2006 08:32 <REP> ..
      20/02/2006 08:32 <REP> .
      17/08/2004 12:06 62 desktop.ini
      1 fichier(s) 62 octets
      4 R‚p(s) 6210875392 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

      14/10/2006 14:11 <REP> Real
      09/08/2006 11:30 <REP> AVG7
      09/08/2006 11:29 62 desktop.ini
      09/08/2006 11:29 <REP> Identities
      09/08/2006 11:29 <REP> Microsoft
      09/08/2006 11:29 <REP> ..
      09/08/2006 11:29 <REP> .
      1 fichier(s) 62 octets
      6 R‚p(s) 6210875392 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\moi\Application Data

      07/12/2006 17:49 <REP> Lavasoft
      05/12/2006 21:29 <REP> Log Eggs Iso
      05/12/2006 14:55 <REP> ATI
      21/11/2006 13:48 <REP> dvdcss
      13/11/2006 18:16 <REP> Download Manager
      12/10/2006 15:25 <REP> VideoEgg
      27/09/2006 16:38 <REP> Real
      22/09/2006 23:05 <REP> Flock
      16/09/2006 23:47 <REP> CyberLink
      20/08/2006 21:31 <REP> Talkback
      07/08/2006 22:31 <REP> Apple Computer
      30/07/2006 15:48 <REP> OpenOffice.org2
      25/07/2006 23:58 <REP> vlc
      20/07/2006 13:44 <REP> CopyToDvd
      20/07/2006 13:43 <REP> Vso
      18/07/2006 12:39 <REP> Help
      11/07/2006 15:04 <REP> AdobeAUM
      08/07/2006 12:27 <REP> AVG7
      05/07/2006 13:33 <REP> Mozilla
      05/07/2006 01:55 <REP> Skype
      05/07/2006 01:52 <REP> ArcSoft
      25/06/2006 18:41 <REP> Brother
      14/06/2006 20:46 <REP> Microgaming
      29/05/2006 16:18 <REP> Copernic
      23/05/2006 15:58 <REP> Corel
      23/05/2006 15:04 <REP> Ahead
      19/05/2006 16:52 <REP> HP
      19/05/2006 12:35 <REP> WengoPhone
      16/05/2006 23:00 <REP> Google
      16/05/2006 16:38 <REP> Sun
      16/05/2006 12:24 <REP> AdobeUM
      16/05/2006 12:24 <REP> Adobe
      15/05/2006 17:27 <REP> VanDyke
      15/05/2006 13:30 <REP> Macromedia
      15/05/2006 12:04 62 desktop.ini
      15/05/2006 12:04 <REP> Identities
      15/05/2006 12:04 <REP> Microsoft
      15/05/2006 12:04 <REP> .
      15/05/2006 12:04 <REP> ..
      1 fichier(s) 62 octets
      38 R‚p(s) 6210871296 octets libres
      ******************************************
      Recherche des taches planifiées dans C:\WINDOWS\tasks

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\WINDOWS\Tasks

      05/12/2006 21:29 256 AA62347E9191A69A.job
      20/02/2006 08:32 <REP> ..
      20/02/2006 08:32 <REP> .
      17/08/2004 10:37 6 SA.DAT
      05/08/2004 09:00 65 desktop.ini
      3 fichier(s) 327 octets
      2 R‚p(s) 6ÿ210ÿ871ÿ296 octets libres

      ******************************************
      Recherche dans Program files

      Le dossier C:\Program Files\C2Media n'existe pas

      *************** Fin du rapport ****************
      0
    2. HENEZE Messages postés 11 Statut Membre 1
       
      Hello

      Non tu ne reves pas, je n'ai pas de pare feu, j'ai juste avg anti virus :-)

      tiens voici le rapport, et merci pour ton aide :

      apport fait à 22:06:41,70 le 15/12/2006

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      13/12/2006 22:55 <REP> PC Drivers Headquarters
      07/12/2006 13:50 <REP> Spybot - Search & Destroy
      05/12/2006 22:53 <REP> Microsoft Help
      05/12/2006 21:29 <REP> BorePopWaitSoft
      25/10/2006 14:21 <REP> Macromedia
      12/10/2006 15:25 <REP> VideoEgg
      15/09/2006 14:39 <REP> Google
      02/08/2006 00:05 <REP> Apple Computer
      30/07/2006 15:20 <REP> Windows Genuine Advantage
      08/07/2006 12:27 <REP> avg7
      08/07/2006 12:27 <REP> Grisoft
      05/07/2006 01:55 <REP> Skype
      23/06/2006 14:36 <REP> Macrovision
      23/06/2006 14:34 <REP> Adobe
      20/02/2006 08:32 <REP> SBSI
      20/02/2006 08:32 <REP> ..
      20/02/2006 08:32 <REP> Microsoft
      20/02/2006 08:32 <REP> .
      20/02/2006 00:21 <REP> HP
      20/02/2006 00:21 <REP> CyberLink
      20/02/2006 00:14 <REP> Symantec
      20/02/2006 00:08 <REP> InstallShield
      19/02/2006 23:54 <REP> Sonic
      19/02/2006 23:53 373 hpzinstall.log
      17/08/2004 12:06 62 desktop.ini
      2 fichier(s) 435 octets
      23 R‚p(s) 6210940928 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\Default User\Application Data

      15/05/2006 12:03 <REP> Identities
      20/02/2006 08:32 <REP> Microsoft
      20/02/2006 08:32 <REP> ..
      20/02/2006 08:32 <REP> .
      17/08/2004 12:06 62 desktop.ini
      1 fichier(s) 62 octets
      4 R‚p(s) 6210875392 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

      14/10/2006 14:11 <REP> Real
      09/08/2006 11:30 <REP> AVG7
      09/08/2006 11:29 62 desktop.ini
      09/08/2006 11:29 <REP> Identities
      09/08/2006 11:29 <REP> Microsoft
      09/08/2006 11:29 <REP> ..
      09/08/2006 11:29 <REP> .
      1 fichier(s) 62 octets
      6 R‚p(s) 6210875392 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\Documents and Settings\moi\Application Data

      07/12/2006 17:49 <REP> Lavasoft
      05/12/2006 21:29 <REP> Log Eggs Iso
      05/12/2006 14:55 <REP> ATI
      21/11/2006 13:48 <REP> dvdcss
      13/11/2006 18:16 <REP> Download Manager
      12/10/2006 15:25 <REP> VideoEgg
      27/09/2006 16:38 <REP> Real
      22/09/2006 23:05 <REP> Flock
      16/09/2006 23:47 <REP> CyberLink
      20/08/2006 21:31 <REP> Talkback
      07/08/2006 22:31 <REP> Apple Computer
      30/07/2006 15:48 <REP> OpenOffice.org2
      25/07/2006 23:58 <REP> vlc
      20/07/2006 13:44 <REP> CopyToDvd
      20/07/2006 13:43 <REP> Vso
      18/07/2006 12:39 <REP> Help
      11/07/2006 15:04 <REP> AdobeAUM
      08/07/2006 12:27 <REP> AVG7
      05/07/2006 13:33 <REP> Mozilla
      05/07/2006 01:55 <REP> Skype
      05/07/2006 01:52 <REP> ArcSoft
      25/06/2006 18:41 <REP> Brother
      14/06/2006 20:46 <REP> Microgaming
      29/05/2006 16:18 <REP> Copernic
      23/05/2006 15:58 <REP> Corel
      23/05/2006 15:04 <REP> Ahead
      19/05/2006 16:52 <REP> HP
      19/05/2006 12:35 <REP> WengoPhone
      16/05/2006 23:00 <REP> Google
      16/05/2006 16:38 <REP> Sun
      16/05/2006 12:24 <REP> AdobeUM
      16/05/2006 12:24 <REP> Adobe
      15/05/2006 17:27 <REP> VanDyke
      15/05/2006 13:30 <REP> Macromedia
      15/05/2006 12:04 62 desktop.ini
      15/05/2006 12:04 <REP> Identities
      15/05/2006 12:04 <REP> Microsoft
      15/05/2006 12:04 <REP> .
      15/05/2006 12:04 <REP> ..
      1 fichier(s) 62 octets
      38 R‚p(s) 6210871296 octets libres
      ******************************************
      Recherche des taches planifiées dans C:\WINDOWS\tasks

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est 1CFD-593A

      R‚pertoire de C:\WINDOWS\Tasks

      05/12/2006 21:29 256 AA62347E9191A69A.job
      20/02/2006 08:32 <REP> ..
      20/02/2006 08:32 <REP> .
      17/08/2004 10:37 6 SA.DAT
      05/08/2004 09:00 65 desktop.ini
      3 fichier(s) 327 octets
      2 R‚p(s) 6ÿ210ÿ871ÿ296 octets libres

      ******************************************
      Recherche dans Program files

      Le dossier C:\Program Files\C2Media n'existe pas

      *************** Fin du rapport ****************
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    1) Le parefeu :
    Kerio (parefeu)

    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html

    tuto

    https://forums.cnetfrance.fr

    2) Eradication

    Deconnecte toi d'internet

    puis va dans :

    demarrer > executer et tape cmd
    dans la fenetre dos, copie et colle ceci:

    del /a C:\WINDOWS\Tasks\AA62347E9191A69A.job

    si ca marche pas en mode normal essaie en mode sans echec

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    Ouvre l'explorateur Windows et supprime

    C:\Documents and Settings\moi\Application Data\Log Eggs Iso
    et

    C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft

    reboote l'ordi,

    relance lopxp

    poste le rapport

    remets un log HijackThis.

    @+
    0
  3. heneze
     
    Hello

    Je n'ai pas trouvé le dossier applicationdata, j'ai fait une recherche sur le dur et ai trouvé le premier repertoire indiqué, vide, que je supprimé.

    Par ailleurs ai telechargé le firewall mais il me demande un login et password mais malheureusement, ceux fournit sur clubic ne fonctionnent pas.

    Par ailleurs, voici le rapport le rapport logxp et le rapport hijack.

    par ailleurs merci a nouveau ;-)

    Rapport fait à 1:06:58,46 le 16/12/2006

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 1CFD-593A

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    13/12/2006 22:55 <REP> PC Drivers Headquarters
    07/12/2006 13:50 <REP> Spybot - Search & Destroy
    05/12/2006 22:53 <REP> Microsoft Help
    05/12/2006 21:29 <REP> BorePopWaitSoft
    25/10/2006 14:21 <REP> Macromedia
    12/10/2006 15:25 <REP> VideoEgg
    15/09/2006 14:39 <REP> Google
    02/08/2006 00:05 <REP> Apple Computer
    30/07/2006 15:20 <REP> Windows Genuine Advantage
    08/07/2006 12:27 <REP> avg7
    08/07/2006 12:27 <REP> Grisoft
    05/07/2006 01:55 <REP> Skype
    23/06/2006 14:36 <REP> Macrovision
    23/06/2006 14:34 <REP> Adobe
    20/02/2006 08:32 <REP> SBSI
    20/02/2006 08:32 <REP> ..
    20/02/2006 08:32 <REP> Microsoft
    20/02/2006 08:32 <REP> .
    20/02/2006 00:21 <REP> HP
    20/02/2006 00:21 <REP> CyberLink
    20/02/2006 00:14 <REP> Symantec
    20/02/2006 00:08 <REP> InstallShield
    19/02/2006 23:54 <REP> Sonic
    19/02/2006 23:53 373 hpzinstall.log
    17/08/2004 12:06 62 desktop.ini
    2 fichier(s) 435 octets
    23 R‚p(s) 5120552960 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 1CFD-593A

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    15/05/2006 12:03 <REP> Identities
    20/02/2006 08:32 <REP> Microsoft
    20/02/2006 08:32 <REP> ..
    20/02/2006 08:32 <REP> .
    17/08/2004 12:06 62 desktop.ini
    1 fichier(s) 62 octets
    4 R‚p(s) 5120552960 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 1CFD-593A

    R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

    14/10/2006 14:11 <REP> Real
    09/08/2006 11:30 <REP> AVG7
    09/08/2006 11:29 62 desktop.ini
    09/08/2006 11:29 <REP> Identities
    09/08/2006 11:29 <REP> Microsoft
    09/08/2006 11:29 <REP> ..
    09/08/2006 11:29 <REP> .
    1 fichier(s) 62 octets
    6 R‚p(s) 5120552960 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 1CFD-593A

    R‚pertoire de C:\Documents and Settings\moi\Application Data

    07/12/2006 17:49 <REP> Lavasoft
    05/12/2006 21:29 <REP> Log Eggs Iso
    05/12/2006 14:55 <REP> ATI
    21/11/2006 13:48 <REP> dvdcss
    13/11/2006 18:16 <REP> Download Manager
    12/10/2006 15:25 <REP> VideoEgg
    27/09/2006 16:38 <REP> Real
    22/09/2006 23:05 <REP> Flock
    16/09/2006 23:47 <REP> CyberLink
    20/08/2006 21:31 <REP> Talkback
    07/08/2006 22:31 <REP> Apple Computer
    30/07/2006 15:48 <REP> OpenOffice.org2
    25/07/2006 23:58 <REP> vlc
    20/07/2006 13:44 <REP> CopyToDvd
    20/07/2006 13:43 <REP> Vso
    18/07/2006 12:39 <REP> Help
    11/07/2006 15:04 <REP> AdobeAUM
    08/07/2006 12:27 <REP> AVG7
    05/07/2006 13:33 <REP> Mozilla
    05/07/2006 01:55 <REP> Skype
    05/07/2006 01:52 <REP> ArcSoft
    25/06/2006 18:41 <REP> Brother
    14/06/2006 20:46 <REP> Microgaming
    29/05/2006 16:18 <REP> Copernic
    23/05/2006 15:58 <REP> Corel
    23/05/2006 15:04 <REP> Ahead
    19/05/2006 16:52 <REP> HP
    19/05/2006 12:35 <REP> WengoPhone
    16/05/2006 23:00 <REP> Google
    16/05/2006 16:38 <REP> Sun
    16/05/2006 12:24 <REP> AdobeUM
    16/05/2006 12:24 <REP> Adobe
    15/05/2006 17:27 <REP> VanDyke
    15/05/2006 13:30 <REP> Macromedia
    15/05/2006 12:04 62 desktop.ini
    15/05/2006 12:04 <REP> Identities
    15/05/2006 12:04 <REP> Microsoft
    15/05/2006 12:04 <REP> .
    15/05/2006 12:04 <REP> ..
    1 fichier(s) 62 octets
    38 R‚p(s) 5120548864 octets libres
    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 1CFD-593A

    R‚pertoire de C:\WINDOWS\Tasks

    20/02/2006 08:32 <REP> ..
    20/02/2006 08:32 <REP> .
    17/08/2004 10:37 6 SA.DAT
    05/08/2004 09:00 65 desktop.ini
    2 fichier(s) 71 octets
    2 R‚p(s) 5ÿ120ÿ548ÿ864 octets libres

    ******************************************
    Recherche dans Program files

    Le dossier C:\Program Files\C2Media n'existe pas

    *************** Fin du rapport ****************

    rapport hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 01:10:48, on 16/12/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\HP\QuickPlay\QPService.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\ctfmon.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\moi\Bureau\HijackThis.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
    O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    O4 - HKLM\..\Run: [Virtual PDF Printer] C:\Program Files\Virtual PDF Printer\VirtualPDFPrinter.exe
    O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [waitsoftgridtwo] C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft\remoteooze.exe
    O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe -a
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [GramProxy] C:\DOCUME~1\moi\APPLIC~1\LOGEGG~1\Internet dvd delete.exe
    O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
    O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab
    O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
    O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.5.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

    a+
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Pour Kerio, jette tout ce que tu as et va sur ce lien :
    http://www.malekal.com/kerio_firewall.php

    Télécharge à pertir du lien indiqué et configure comme le dit le tuto.

    Pour le reste, tu fais ça (mon texte était mauvais, désolé) :

    Affiche tous les fichiers et dossiers :
    Clique sur démarrer/explorer/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais appliquer pour valider les changements.

    Tu fermes l'explorateur
    .

    Ensuite, tu réouvres l'explorateur Windows et tu cherches les répertoires suivants :

    C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft

    C:\Documents and Settings\moi\Application Data\Log Eggs Iso

    Pour te persuader qu'ils y sont, tu les trouves dans le log de lopxp.

    Pour les détruire, clic droit sur la a
    malette et supprimmer.

    Tu vides ta corbeille ensuite.

    Si ils ne veulent pas se supprimmer, va le faire en mode sans échec.

    @+
    0