Sujet Précédent Sujet Suivant

SOS ADFIRSTSOLUTION

Résolu/Fermé
HENEZE Messages postés 11 Date d'inscription vendredi 15 décembre 2006 Statut Membre Dernière intervention 13 mai 2007 - 15 déc. 2006 à 16:15
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 16 déc. 2006 à 08:46
Bonjour,
Je suis infecté par le adware adfirstsolution, si je trouve le mec qui a edité ce virus, il finit dans la seine. En attendant, si qqun peut m'aider, voici mon rapport hijack.

Merci d'avance pour vos lumieres.

Logfile of HijackThis v1.99.1
Scan saved at 16:11:35, on 15/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moi\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Virtual PDF Printer] C:\Program Files\Virtual PDF Printer\VirtualPDFPrinter.exe
O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [waitsoftgridtwo] C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft\remoteooze.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GramProxy] C:\DOCUME~1\moi\APPLIC~1\LOGEGG~1\Internet dvd delete.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

4 réponses

Réponse 1 / 4
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
15 déc. 2006 à 16:41
Bonjour,

Commence par ceci stp :

Télécharge lopxp ici: (de moe)

http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu dans ta réponse.

Par ailleurs, j'ai regardé un peu vite ou tu n'as pas de parefeu ?

@+
0
HENEZE Messages postés 11 Date d'inscription vendredi 15 décembre 2006 Statut Membre Dernière intervention 13 mai 2007 1
15 déc. 2006 à 22:11
apport fait à 22:06:41,70 le 15/12/2006

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\All Users\Application Data

13/12/2006 22:55 <REP> PC Drivers Headquarters
07/12/2006 13:50 <REP> Spybot - Search & Destroy
05/12/2006 22:53 <REP> Microsoft Help
05/12/2006 21:29 <REP> BorePopWaitSoft
25/10/2006 14:21 <REP> Macromedia
12/10/2006 15:25 <REP> VideoEgg
15/09/2006 14:39 <REP> Google
02/08/2006 00:05 <REP> Apple Computer
30/07/2006 15:20 <REP> Windows Genuine Advantage
08/07/2006 12:27 <REP> avg7
08/07/2006 12:27 <REP> Grisoft
05/07/2006 01:55 <REP> Skype
23/06/2006 14:36 <REP> Macrovision
23/06/2006 14:34 <REP> Adobe
20/02/2006 08:32 <REP> SBSI
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> Microsoft
20/02/2006 08:32 <REP> .
20/02/2006 00:21 <REP> HP
20/02/2006 00:21 <REP> CyberLink
20/02/2006 00:14 <REP> Symantec
20/02/2006 00:08 <REP> InstallShield
19/02/2006 23:54 <REP> Sonic
19/02/2006 23:53 373 hpzinstall.log
17/08/2004 12:06 62 desktop.ini
2 fichier(s) 435 octets
23 R‚p(s) 6210940928 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\Default User\Application Data

15/05/2006 12:03 <REP> Identities
20/02/2006 08:32 <REP> Microsoft
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> .
17/08/2004 12:06 62 desktop.ini
1 fichier(s) 62 octets
4 R‚p(s) 6210875392 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

14/10/2006 14:11 <REP> Real
09/08/2006 11:30 <REP> AVG7
09/08/2006 11:29 62 desktop.ini
09/08/2006 11:29 <REP> Identities
09/08/2006 11:29 <REP> Microsoft
09/08/2006 11:29 <REP> ..
09/08/2006 11:29 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 6210875392 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\moi\Application Data

07/12/2006 17:49 <REP> Lavasoft
05/12/2006 21:29 <REP> Log Eggs Iso
05/12/2006 14:55 <REP> ATI
21/11/2006 13:48 <REP> dvdcss
13/11/2006 18:16 <REP> Download Manager
12/10/2006 15:25 <REP> VideoEgg
27/09/2006 16:38 <REP> Real
22/09/2006 23:05 <REP> Flock
16/09/2006 23:47 <REP> CyberLink
20/08/2006 21:31 <REP> Talkback
07/08/2006 22:31 <REP> Apple Computer
30/07/2006 15:48 <REP> OpenOffice.org2
25/07/2006 23:58 <REP> vlc
20/07/2006 13:44 <REP> CopyToDvd
20/07/2006 13:43 <REP> Vso
18/07/2006 12:39 <REP> Help
11/07/2006 15:04 <REP> AdobeAUM
08/07/2006 12:27 <REP> AVG7
05/07/2006 13:33 <REP> Mozilla
05/07/2006 01:55 <REP> Skype
05/07/2006 01:52 <REP> ArcSoft
25/06/2006 18:41 <REP> Brother
14/06/2006 20:46 <REP> Microgaming
29/05/2006 16:18 <REP> Copernic
23/05/2006 15:58 <REP> Corel
23/05/2006 15:04 <REP> Ahead
19/05/2006 16:52 <REP> HP
19/05/2006 12:35 <REP> WengoPhone
16/05/2006 23:00 <REP> Google
16/05/2006 16:38 <REP> Sun
16/05/2006 12:24 <REP> AdobeUM
16/05/2006 12:24 <REP> Adobe
15/05/2006 17:27 <REP> VanDyke
15/05/2006 13:30 <REP> Macromedia
15/05/2006 12:04 62 desktop.ini
15/05/2006 12:04 <REP> Identities
15/05/2006 12:04 <REP> Microsoft
15/05/2006 12:04 <REP> .
15/05/2006 12:04 <REP> ..
1 fichier(s) 62 octets
38 R‚p(s) 6210871296 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\WINDOWS\Tasks

05/12/2006 21:29 256 AA62347E9191A69A.job
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> .
17/08/2004 10:37 6 SA.DAT
05/08/2004 09:00 65 desktop.ini
3 fichier(s) 327 octets
2 R‚p(s) 6ÿ210ÿ871ÿ296 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
0
HENEZE Messages postés 11 Date d'inscription vendredi 15 décembre 2006 Statut Membre Dernière intervention 13 mai 2007 1
15 déc. 2006 à 22:12
Hello

Non tu ne reves pas, je n'ai pas de pare feu, j'ai juste avg anti virus :-)

tiens voici le rapport, et merci pour ton aide :

apport fait à 22:06:41,70 le 15/12/2006

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\All Users\Application Data

13/12/2006 22:55 <REP> PC Drivers Headquarters
07/12/2006 13:50 <REP> Spybot - Search & Destroy
05/12/2006 22:53 <REP> Microsoft Help
05/12/2006 21:29 <REP> BorePopWaitSoft
25/10/2006 14:21 <REP> Macromedia
12/10/2006 15:25 <REP> VideoEgg
15/09/2006 14:39 <REP> Google
02/08/2006 00:05 <REP> Apple Computer
30/07/2006 15:20 <REP> Windows Genuine Advantage
08/07/2006 12:27 <REP> avg7
08/07/2006 12:27 <REP> Grisoft
05/07/2006 01:55 <REP> Skype
23/06/2006 14:36 <REP> Macrovision
23/06/2006 14:34 <REP> Adobe
20/02/2006 08:32 <REP> SBSI
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> Microsoft
20/02/2006 08:32 <REP> .
20/02/2006 00:21 <REP> HP
20/02/2006 00:21 <REP> CyberLink
20/02/2006 00:14 <REP> Symantec
20/02/2006 00:08 <REP> InstallShield
19/02/2006 23:54 <REP> Sonic
19/02/2006 23:53 373 hpzinstall.log
17/08/2004 12:06 62 desktop.ini
2 fichier(s) 435 octets
23 R‚p(s) 6210940928 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\Default User\Application Data

15/05/2006 12:03 <REP> Identities
20/02/2006 08:32 <REP> Microsoft
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> .
17/08/2004 12:06 62 desktop.ini
1 fichier(s) 62 octets
4 R‚p(s) 6210875392 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

14/10/2006 14:11 <REP> Real
09/08/2006 11:30 <REP> AVG7
09/08/2006 11:29 62 desktop.ini
09/08/2006 11:29 <REP> Identities
09/08/2006 11:29 <REP> Microsoft
09/08/2006 11:29 <REP> ..
09/08/2006 11:29 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 6210875392 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\moi\Application Data

07/12/2006 17:49 <REP> Lavasoft
05/12/2006 21:29 <REP> Log Eggs Iso
05/12/2006 14:55 <REP> ATI
21/11/2006 13:48 <REP> dvdcss
13/11/2006 18:16 <REP> Download Manager
12/10/2006 15:25 <REP> VideoEgg
27/09/2006 16:38 <REP> Real
22/09/2006 23:05 <REP> Flock
16/09/2006 23:47 <REP> CyberLink
20/08/2006 21:31 <REP> Talkback
07/08/2006 22:31 <REP> Apple Computer
30/07/2006 15:48 <REP> OpenOffice.org2
25/07/2006 23:58 <REP> vlc
20/07/2006 13:44 <REP> CopyToDvd
20/07/2006 13:43 <REP> Vso
18/07/2006 12:39 <REP> Help
11/07/2006 15:04 <REP> AdobeAUM
08/07/2006 12:27 <REP> AVG7
05/07/2006 13:33 <REP> Mozilla
05/07/2006 01:55 <REP> Skype
05/07/2006 01:52 <REP> ArcSoft
25/06/2006 18:41 <REP> Brother
14/06/2006 20:46 <REP> Microgaming
29/05/2006 16:18 <REP> Copernic
23/05/2006 15:58 <REP> Corel
23/05/2006 15:04 <REP> Ahead
19/05/2006 16:52 <REP> HP
19/05/2006 12:35 <REP> WengoPhone
16/05/2006 23:00 <REP> Google
16/05/2006 16:38 <REP> Sun
16/05/2006 12:24 <REP> AdobeUM
16/05/2006 12:24 <REP> Adobe
15/05/2006 17:27 <REP> VanDyke
15/05/2006 13:30 <REP> Macromedia
15/05/2006 12:04 62 desktop.ini
15/05/2006 12:04 <REP> Identities
15/05/2006 12:04 <REP> Microsoft
15/05/2006 12:04 <REP> .
15/05/2006 12:04 <REP> ..
1 fichier(s) 62 octets
38 R‚p(s) 6210871296 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\WINDOWS\Tasks

05/12/2006 21:29 256 AA62347E9191A69A.job
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> .
17/08/2004 10:37 6 SA.DAT
05/08/2004 09:00 65 desktop.ini
3 fichier(s) 327 octets
2 R‚p(s) 6ÿ210ÿ871ÿ296 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
0
Réponse 2 / 4
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
15 déc. 2006 à 22:44
Re,

1) Le parefeu :
Kerio (parefeu)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html

tuto

https://forums.cnetfrance.fr


2) Eradication

Deconnecte toi d'internet

puis va dans :

demarrer > executer et tape cmd
dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\AA62347E9191A69A.job

si ca marche pas en mode normal essaie en mode sans echec



Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !
----------------------------------------------------------------------------
Ouvre l'explorateur Windows et supprime

C:\Documents and Settings\moi\Application Data\Log Eggs Iso
et

C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft

reboote l'ordi,

relance lopxp

poste le rapport

remets un log HijackThis.

@+
0
Réponse 3 / 4
heneze
16 déc. 2006 à 01:15
Hello

Je n'ai pas trouvé le dossier applicationdata, j'ai fait une recherche sur le dur et ai trouvé le premier repertoire indiqué, vide, que je supprimé.

Par ailleurs ai telechargé le firewall mais il me demande un login et password mais malheureusement, ceux fournit sur clubic ne fonctionnent pas.

Par ailleurs, voici le rapport le rapport logxp et le rapport hijack.

par ailleurs merci a nouveau ;-)

Rapport fait à 1:06:58,46 le 16/12/2006

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\All Users\Application Data

13/12/2006 22:55 <REP> PC Drivers Headquarters
07/12/2006 13:50 <REP> Spybot - Search & Destroy
05/12/2006 22:53 <REP> Microsoft Help
05/12/2006 21:29 <REP> BorePopWaitSoft
25/10/2006 14:21 <REP> Macromedia
12/10/2006 15:25 <REP> VideoEgg
15/09/2006 14:39 <REP> Google
02/08/2006 00:05 <REP> Apple Computer
30/07/2006 15:20 <REP> Windows Genuine Advantage
08/07/2006 12:27 <REP> avg7
08/07/2006 12:27 <REP> Grisoft
05/07/2006 01:55 <REP> Skype
23/06/2006 14:36 <REP> Macrovision
23/06/2006 14:34 <REP> Adobe
20/02/2006 08:32 <REP> SBSI
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> Microsoft
20/02/2006 08:32 <REP> .
20/02/2006 00:21 <REP> HP
20/02/2006 00:21 <REP> CyberLink
20/02/2006 00:14 <REP> Symantec
20/02/2006 00:08 <REP> InstallShield
19/02/2006 23:54 <REP> Sonic
19/02/2006 23:53 373 hpzinstall.log
17/08/2004 12:06 62 desktop.ini
2 fichier(s) 435 octets
23 R‚p(s) 5120552960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\Default User\Application Data

15/05/2006 12:03 <REP> Identities
20/02/2006 08:32 <REP> Microsoft
20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> .
17/08/2004 12:06 62 desktop.ini
1 fichier(s) 62 octets
4 R‚p(s) 5120552960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

14/10/2006 14:11 <REP> Real
09/08/2006 11:30 <REP> AVG7
09/08/2006 11:29 62 desktop.ini
09/08/2006 11:29 <REP> Identities
09/08/2006 11:29 <REP> Microsoft
09/08/2006 11:29 <REP> ..
09/08/2006 11:29 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 5120552960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\Documents and Settings\moi\Application Data

07/12/2006 17:49 <REP> Lavasoft
05/12/2006 21:29 <REP> Log Eggs Iso
05/12/2006 14:55 <REP> ATI
21/11/2006 13:48 <REP> dvdcss
13/11/2006 18:16 <REP> Download Manager
12/10/2006 15:25 <REP> VideoEgg
27/09/2006 16:38 <REP> Real
22/09/2006 23:05 <REP> Flock
16/09/2006 23:47 <REP> CyberLink
20/08/2006 21:31 <REP> Talkback
07/08/2006 22:31 <REP> Apple Computer
30/07/2006 15:48 <REP> OpenOffice.org2
25/07/2006 23:58 <REP> vlc
20/07/2006 13:44 <REP> CopyToDvd
20/07/2006 13:43 <REP> Vso
18/07/2006 12:39 <REP> Help
11/07/2006 15:04 <REP> AdobeAUM
08/07/2006 12:27 <REP> AVG7
05/07/2006 13:33 <REP> Mozilla
05/07/2006 01:55 <REP> Skype
05/07/2006 01:52 <REP> ArcSoft
25/06/2006 18:41 <REP> Brother
14/06/2006 20:46 <REP> Microgaming
29/05/2006 16:18 <REP> Copernic
23/05/2006 15:58 <REP> Corel
23/05/2006 15:04 <REP> Ahead
19/05/2006 16:52 <REP> HP
19/05/2006 12:35 <REP> WengoPhone
16/05/2006 23:00 <REP> Google
16/05/2006 16:38 <REP> Sun
16/05/2006 12:24 <REP> AdobeUM
16/05/2006 12:24 <REP> Adobe
15/05/2006 17:27 <REP> VanDyke
15/05/2006 13:30 <REP> Macromedia
15/05/2006 12:04 62 desktop.ini
15/05/2006 12:04 <REP> Identities
15/05/2006 12:04 <REP> Microsoft
15/05/2006 12:04 <REP> .
15/05/2006 12:04 <REP> ..
1 fichier(s) 62 octets
38 R‚p(s) 5120548864 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 1CFD-593A

R‚pertoire de C:\WINDOWS\Tasks

20/02/2006 08:32 <REP> ..
20/02/2006 08:32 <REP> .
17/08/2004 10:37 6 SA.DAT
05/08/2004 09:00 65 desktop.ini
2 fichier(s) 71 octets
2 R‚p(s) 5ÿ120ÿ548ÿ864 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************


rapport hijack

Logfile of HijackThis v1.99.1
Scan saved at 01:10:48, on 16/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moi\Bureau\HijackThis.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Virtual PDF Printer] C:\Program Files\Virtual PDF Printer\VirtualPDFPrinter.exe
O4 - HKLM\..\Run: [pdfw] C:\Program Files\Amic Utilities\PDF Writer Pro\pdfwload.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [waitsoftgridtwo] C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft\remoteooze.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.9.0.38\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GramProxy] C:\DOCUME~1\moi\APPLIC~1\LOGEGG~1\Internet dvd delete.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.0.6.5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - https://www.canalplus.com/canalplay/
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


a+
0
Réponse 4 / 4
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
16 déc. 2006 à 08:46
Bonjour,

Pour Kerio, jette tout ce que tu as et va sur ce lien :
http://www.malekal.com/kerio_firewall.php

Télécharge à pertir du lien indiqué et configure comme le dit le tuto.


Pour le reste, tu fais ça (mon texte était mauvais, désolé) :

Affiche tous les fichiers et dossiers :
Clique sur démarrer/explorer/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais appliquer pour valider les changements.

Tu fermes l'explorateur .

Ensuite, tu réouvres l'explorateur Windows et tu cherches les répertoires suivants :

C:\Documents and Settings\All Users\Application Data\BorePopWaitSoft


C:\Documents and Settings\moi\Application Data\Log Eggs Iso

Pour te persuader qu'ils y sont, tu les trouves dans le log de lopxp.

Pour les détruire, clic droit sur la a
malette et supprimmer.

Tu vides ta corbeille ensuite.

Si ils ne veulent pas se supprimmer, va le faire en mode sans échec.

@+
0