[trojan] obfuscated.bl

Morice -  
 Morice -
Salut J'ai un virus sur mon ordi, AVG anti-spyware détecte régulièrement (plusieurs fois par jours) ceci: "trojan.obfuscated.bl"

son emplacement est: C:\DOCUME~1\PROPI~1\APPLIC~1\BINDBO~1\caystvsx.exe et le nom change a chaque fois...

Voila le scan de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:05:33, on 10/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
E:\Programme files\eMule\Incoming\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [okay error balm great] C:\Documents and Settings\All Users\Application Data\BIRD 64 OKAY ERROR\lovemail.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Managerhole] C:\DOCUME~1\PROPRI~1\APPLIC~1\BINDBO~1\2drawcast.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TrayMin300.exe.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

voila merci a vous.
Ciao.
Configuration: Windows XP
Firefox 2.0.0.1

9 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    * Télécharge LopXPMH sur ton Bureau.
    http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

    * Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
    * Poste le contenu du rapport qui va s'ouvrir.

    0
  2. Morice
     
    Et voila:

    Rapport fait à 8:03:17,07 le 11/01/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    23/10/2006 15:52 <REP> .
    23/10/2006 15:52 <REP> ..
    26/12/2006 20:18 <REP> ACD Systems
    27/10/2006 14:11 <REP> Adobe
    10/11/2006 16:53 <REP> Adobe Systems
    17/12/2006 00:47 <REP> Apple Computer
    29/10/2006 18:53 <REP> Autodesk
    28/10/2006 02:59 <REP> avg7
    27/10/2006 11:45 <REP> BIRD 64 OKAY ERROR
    28/10/2006 02:59 <REP> Grisoft
    03/11/2006 17:48 <REP> Macrovision
    23/10/2006 15:52 <REP> Microsoft
    24/10/2006 19:31 <REP> NVIDIA
    25/10/2006 20:40 <REP> nView_Profiles
    07/01/2007 16:30 <REP> Pinnacle
    27/10/2006 14:34 <REP> Sony Corporation
    29/10/2006 13:01 <REP> Windows Genuine Advantage
    23/10/2006 15:53 62 desktop.ini
    17/12/2006 00:50 2ÿ917 QTSBandwidthCache
    2 fichier(s) 2ÿ979 octets
    17 R‚p(s) 17ÿ837ÿ969ÿ408 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    23/10/2006 15:52 <REP> .
    23/10/2006 15:52 <REP> ..
    23/10/2006 15:52 <REP> Microsoft
    23/10/2006 15:53 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 17ÿ837ÿ969ÿ408 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    23/10/2006 15:53 <REP> .
    23/10/2006 15:53 <REP> ..
    23/10/2006 14:08 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 17ÿ837ÿ969ÿ408 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    23/10/2006 14:11 <REP> .
    23/10/2006 14:11 <REP> ..
    28/10/2006 02:59 <REP> AVG7
    23/10/2006 14:11 <REP> Microsoft
    0 fichier(s) 0 octets
    4 R‚p(s) 17ÿ837ÿ969ÿ408 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    23/10/2006 14:11 <REP> .
    23/10/2006 14:11 <REP> ..
    23/10/2006 14:11 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 17ÿ837ÿ957ÿ120 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    23/10/2006 14:11 <REP> .
    23/10/2006 14:11 <REP> ..
    23/10/2006 14:11 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 17ÿ837ÿ957ÿ120 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    23/10/2006 14:11 <REP> .
    23/10/2006 14:11 <REP> ..
    23/10/2006 14:11 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 17ÿ837ÿ957ÿ120 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\Propritaire

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\Propritaire\Local Settings

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\Propri‚taire\Application Data

    23/10/2006 14:12 <REP> .
    23/10/2006 14:12 <REP> ..
    08/11/2006 20:41 <REP> ACD Systems
    27/10/2006 14:11 <REP> Adobe
    03/11/2006 00:34 <REP> AdobeUM
    17/12/2006 00:53 <REP> Apple Computer
    28/10/2006 02:59 <REP> AVG7
    25/10/2006 18:56 <REP> Azureus
    27/10/2006 11:45 <REP> bind bore vga
    24/10/2006 22:20 <REP> dvdcss
    26/11/2006 14:55 <REP> EoRezo
    29/10/2006 11:40 <REP> Google
    26/10/2006 21:55 <REP> Help
    23/10/2006 14:12 <REP> Identities
    25/10/2006 11:18 <REP> Macromedia
    23/10/2006 14:12 <REP> Microsoft
    30/10/2006 19:04 <REP> Mozilla
    01/11/2006 20:59 <REP> My Games
    10/11/2006 16:55 <REP> Opera
    23/11/2006 22:26 <REP> Sony Corporation
    25/10/2006 18:56 <REP> Sun
    30/10/2006 19:05 <REP> Talkback
    24/10/2006 21:08 <REP> vlc
    18/11/2006 15:38 <REP> Xfire
    23/10/2006 14:12 62 desktop.ini
    1 fichier(s) 62 octets
    24 R‚p(s) 17ÿ837ÿ953ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Documents and Settings\Propri‚taire\Local Settings\Application Data

    23/10/2006 14:12 <REP> .
    23/10/2006 14:12 <REP> ..
    07/01/2007 17:54 <REP> .SIPPS
    26/12/2006 20:18 <REP> ACD Systems
    08/11/2006 20:41 <REP> ACDSee
    27/10/2006 15:02 <REP> Adobe
    17/11/2006 01:18 <REP> Ahead
    17/12/2006 00:50 <REP> Apple Computer
    07/01/2007 16:32 <REP> ApplicationHistory
    29/10/2006 18:13 <REP> Google
    26/10/2006 21:55 <REP> Help
    24/10/2006 20:52 <REP> Identities
    07/01/2007 16:48 <REP> IsolatedStorage
    23/11/2006 21:52 <REP> kinoma
    12/11/2006 01:49 <REP> Logitech-LS
    23/10/2006 14:12 <REP> Microsoft
    04/11/2006 01:45 <REP> Mozilla
    27/10/2006 15:18 <REP> Sony Corporation
    24/10/2006 20:27 95ÿ232 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    07/01/2007 16:32 135 fusioncache.dat
    23/10/2006 14:12 19ÿ472 GDIPFONTCACHEV1.DAT
    23/10/2006 14:30 10ÿ148ÿ096 IconCache.db
    4 fichier(s) 10ÿ262ÿ935 octets
    18 R‚p(s) 17ÿ837ÿ953ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    23/10/2006 14:10 <REP> .
    23/10/2006 14:10 <REP> ..
    23/10/2006 14:10 <REP> Microsoft
    23/10/2006 14:10 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 17ÿ837ÿ953ÿ024 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    23/10/2006 14:10 <REP> .
    23/10/2006 14:10 <REP> ..
    23/10/2006 14:10 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 17ÿ837ÿ953ÿ024 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\WINDOWS\Tasks

    17/12/2006 00:47 284 AppleSoftwareUpdate.job
    27/10/2006 11:45 284 AA8F12A4917484F8.job
    23/10/2006 14:11 6 SA.DAT
    23/10/2006 14:06 65 desktop.ini
    23/10/2006 14:06 <REP> ..
    23/10/2006 14:06 <REP> .
    4 fichier(s) 639 octets
    2 R‚p(s) 17ÿ837ÿ948ÿ928 octets libres

    ******************************************
    ## Répertoires de Program files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\Program Files

    10/01/2007 19:40 <REP> .
    10/01/2007 19:40 <REP> ..
    08/11/2006 20:40 <REP> ACD Systems
    09/01/2007 08:35 <REP> Adobe
    10/11/2006 16:54 <REP> adobephotoshop9cs2tryoutfullfixpatchcw2k
    07/01/2007 17:43 <REP> Ahead
    19/11/2006 14:51 <REP> alcohol
    17/12/2006 00:47 <REP> Apple Software Update
    29/10/2006 18:53 <REP> backburner 2
    17/12/2006 21:26 <REP> CamStudio
    23/10/2006 14:05 <REP> ComPlus Applications
    01/11/2006 20:25 <REP> DAEMON Tools
    08/01/2007 21:03 <REP> DivX
    17/12/2006 20:21 <REP> eoRezo
    10/01/2007 19:40 <REP> Fichiers communs
    29/10/2006 18:13 <REP> Google
    28/10/2006 02:59 <REP> Grisoft
    08/01/2007 21:01 <REP> Internet Explorer
    25/10/2006 18:56 <REP> Java
    10/01/2007 12:57 <REP> K!TV
    07/01/2007 18:11 <REP> Logitech
    10/12/2006 15:07 <REP> LucasArts
    09/12/2006 14:49 <REP> MaxTV Online
    06/11/2006 08:11 <REP> Media Gateway
    24/10/2006 20:23 <REP> Messenger
    11/12/2006 19:28 <REP> Microsoft ActiveSync
    23/10/2006 14:08 <REP> microsoft frontpage
    11/12/2006 19:28 <REP> Microsoft Office
    23/10/2006 14:06 <REP> Movie Maker
    11/01/2007 08:00 <REP> Mozilla Firefox
    25/10/2006 08:58 <REP> MSN
    23/10/2006 14:05 <REP> MSN Gaming Zone
    25/10/2006 11:10 <REP> MSN Messenger
    29/10/2006 13:01 <REP> MSXML 4.0
    12/11/2006 14:58 <REP> nero
    23/10/2006 14:06 <REP> NetMeeting
    14/11/2006 21:18 <REP> NewTek
    17/12/2006 02:42 <REP> Outlook Express
    07/01/2007 17:43 <REP> Philips
    07/01/2007 16:31 <REP> Pinnacle
    17/12/2006 00:48 <REP> QuickTime
    23/10/2006 14:35 <REP> Realtek
    23/10/2006 14:07 <REP> Services en ligne
    23/11/2006 22:28 <REP> Sony
    23/10/2006 14:13 <REP> VIA
    27/10/2006 13:22 <REP> VideoLAN
    10/12/2006 17:47 <REP> VVSN
    16/12/2006 11:28 <REP> Web Media Player
    27/10/2006 18:34 <REP> Winamp
    29/10/2006 13:17 <REP> Windows Live Safety Center
    19/11/2006 12:30 <REP> Windows Media Player
    11/11/2006 16:11 <REP> Windows NT
    10/01/2007 21:03 <REP> WinFast
    23/10/2006 14:08 <REP> xerox
    0 fichier(s) 0 octets
    54 R‚p(s) 17ÿ837ÿ948ÿ928 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    dns-look-up.com REG_SZ
    www.dns-look-up.com REG_SZ
    netsearchsoft.com REG_SZ
    www.netsearchsoft.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\7GB1081B.DEFAULT\HOSTPERM.1

    ******************************************
    ## Registre

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    okay error balm great REG_SZ C:\Documents and Settings\All Users\Application Data\BIRD 64 OKAY ERROR\lovemail.exe

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Managerhole REG_SZ C:\DOCUME~1\PROPRI~1\APPLIC~1\BINDBO~1\2drawcast.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\WINDOWS

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 98E9-46BD

    R‚pertoire de C:\WINDOWS

    *************** Fin du rapport ****************

    Merci bonne journée.
    Ciao
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonjour,

    Note comment démarrer en mode sans échec
    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

    1* Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm

    ("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    * Crée un nouveau document texte :
    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
    Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

    REGEDIT4 
    
    [- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
    "BIRD 64 OKAY ERROR"=- 
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
    "Managerhole"=- 
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow] 
    "dns-look-up.com"=- 
    "www.dns-look-up.com"=- 
    "netsearchsoft.com"=-
    "www.netsearchsoft.com"=-


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"



    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****


    / désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    BIRD 64 OKAY ERROR

    / Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    / recherche et supprime ces dossiers ou fichiers, si tu les trouves :

    C:\DOCUMENTS & SETTINGS\PROPRIETAIRE\APPLICATION DATA\BINDBO~1\ <- le dossier
    C:\Documents and Settings\All Users\Application Data\BIRD 64 OKAY ERROR\ <- le dossier

    / démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\AA8F12A4917484F8.job 


    valide par entrée, puis ferme la fenêtre de commande.

    / double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    / Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  4. morice
     
    Salut j'ai essayé de faire ce que tu m'as dit mais je n'ai pas tout réussi...

    "/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    BIRD 64 OKAY ERROR"
    Ca je n'ai pas réussi.

    " démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\AA8F12A4917484F8.job"
    Ca non plus.

    voila le rapport hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 08:32:47, on 12/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RunDLL32.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\VM_STI.EXE
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin200.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgw.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    E:\Programme files\eMule\Incoming\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [okay error balm great] C:\Documents and Settings\All Users\Application Data\BIRD 64 OKAY ERROR\lovemail.exe
    O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Managerhole] C:\DOCUME~1\PROPRI~1\APPLIC~1\BINDBO~1\2drawcast.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: TrayMin300.exe.lnk = ?
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
    O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

    J'ai toujours les message d'AVG et le dossier BIRD64 a réaparru.

    Merci a+.
    Ciao
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. morice
     
    Sinon j'ai aussi un probleme pour quitté le mode sans échec, il me propose une restauration du systeme...

    Merci.
    Ciao
    0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    "/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)
    
    BIRD 64 OKAY ERROR"
    Ca je n'ai pas réussi.


    tu n'as pas réussi, ou tu n'as pas trouvé le dossier ?

    " démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :
    
    del /a C:\WINDOWS\Tasks\AA8F12A4917484F8.job"
    Ca non plus. 


    et pour celui là pareil tu n'as pas su le faire, ou bien quel message as tu eu stp ?

    Lance HijackTHis pour un "scan seulement" et coche

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [okay error balm great] C:\Documents and Settings\All Users\Application Data\BIRD 64 OKAY ERROR\lovemail.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [Managerhole] C:\DOCUME~1\PROPRI~1\APPLIC~1\BINDBO~1\2drawcast.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab

    puis il faut recommencer la suite.
    avais tu fait la partie avec REGEDIT ? la méthode fonctionne sans problème, je pense qu'elle n'a pas été faite correctement. Peut être n'as tu pas vraiment compris. Reviens demander si tu as un doute pour quelque chose.

    * Crée un nouveau document texte :
    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
    Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait, ce qui est en gras) :

    REGEDIT4

    [- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BIRD 64 OKAY ERROR"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Managerhole"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "dns-look-up.com"=-
    "www.dns-look-up.com"=-
    "netsearchsoft.com"=-
    "www.netsearchsoft.com"=-


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

    / désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    BIRD 64 OKAY ERROR

    / Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    / recherche et supprime ces dossiers ou fichiers, si tu les trouves :

    C:\DOCUMENTS & SETTINGS\PROPRIETAIRE\APPLICATION DATA\BINDBO~1\ <- le dossier
    C:\Documents and Settings\All Users\Application Data\BIRD 64 OKAY ERROR\ <- le dossier

    / démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\AA8F12A4917484F8.job 


    valide par entrée, puis ferme la fenêtre de commande.

    / double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    / Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  8. crazylocks
     
    Salut,
    j'ai le même virus
    est-ce que je dois faire la même chose?

    Voila le scan de hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 19:00:48, on 12/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\S24EvMon.exe
    C:\WINDOWS\system32\ZCfgSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\1XConfig.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\RegSrvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\BCMSMMSG.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Winamp\Winamp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Documents and Settings\Cécile\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [team less software sect] C:\Documents and Settings\All Users\Application Data\PeakDateTeamLess\Skip sign.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Love Dumb] C:\DOCUME~1\CCILE~1\APPLIC~1\THENAM~1\tons beep.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
    O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

    Merci
    0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    crazylocks, non parce que les noms ne sont pas les mêmes, tu ouvres un sujet, tu mets le rapport sur le post et tu peux faire ceci en même temps

    * Télécharge LopXPMH sur ton Bureau.
    http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

    * Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
    * Poste le contenu du rapport qui va s'ouvrir.

    0
  10. Morice
     
    Salut, c'est bon j'ai refais et a priori il n'y a plus rien. Pa r contre je n'ai pas réussi a tout faire encore:

    " désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    BIRD 64 OKAY ERROR "
    il n'apparaissait pas dans la liste et rien pour le désinstaller dans le dossier.

    " démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\AA8F12A4917484F8.job "
    et ça il me mettai que le chemin spécifié etait introuvable.

    Mais bon a priori j'ai plus de message donc c'est bon.
    Merci beaucoup bon week end.
    0