Sujet Précédent Sujet Suivant

Virus win32 aidez moi!

Fermé
lagon2 - 12 janv. 2007 à 15:41
 lagon2 - 16 janv. 2007 à 11:52
bonjour, je suis infesté par trojan-downloader.win 32, j'ai fais un hijackthis à l'instant, si quelqu'un pouvait m'aidé et me dire comment faire pour l'enlever.
merci beaucoup aidez moi!!

Logfile of HijackThis v1.99.1
Scan saved at 15:19:02, on 12/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe
C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAKE.EXE
C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Hbtools\HBTV\HBTV.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HbTools\Bin\4.8.2.0\HbtWeatherOnTray.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe
C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B94E3D7775A7C4F2E36C3 - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\program files\hbtools\hbtv\hbtvhelper.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.2.0\HbtHostIE.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AB7DC006-0663-5D0C-9581-3198E711314C} - C:\DOCUME~1\PROPRI~1\APPLIC~1\DOWNLO~1\logo trans.exe (file missing)
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.8.2.0\HbtHostIE.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Program Files\Home Media Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON PictureMate 100] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAKE.EXE /P21 "EPSON PictureMate 100" /O6 "USB001" /M "PictureMate 100"
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [FSASWREG] "C:\Program Files\Securitoo\Av_Fw\Anti-Spyware\fsaswreg.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.8.2.0\HbtWeatherOnTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\regclean.exe" -startminimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://www.01net.com/telecharger/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab50997.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab46479.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab32846.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab32846.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab51411.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab41227.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{600ACD20-16F6-4F1E-AC48-EEED4EB9FE0E}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

3 réponses

Réponse 1 / 3
Utilisateur anonyme
12 janv. 2007 à 15:52
Bonjour

Poste aussi ce rapport

Télécharge LopxpMH sur ton Bureau.

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.
0
lagon2 Messages postés 2 Date d'inscription vendredi 12 janvier 2007 Statut Membre Dernière intervention 14 janvier 2007
12 janv. 2007 à 18:21
j'ai fais ce que tu as dit est ce bien ça?

Rapport fait à 18:19:09,35 le 12/01/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\All Users\Application Data

17/07/2003 05:04 <REP> .
17/07/2003 05:04 <REP> ..
29/10/2006 20:25 <REP> Messenger Plus!
02/01/2003 05:29 <REP> Microsoft
27/05/2006 09:24 <REP> MSN Search Toolbar
05/04/2004 14:24 <REP> MSN6
25/12/2004 15:14 <REP> OLYMPUS
25/12/2004 15:01 <REP> QuickTime
02/01/2003 05:41 <REP> SBSI
02/01/2003 08:27 <REP> Symantec
16/01/2006 13:53 <REP> UDL
15/10/2006 09:37 <REP> Windows Genuine Advantage
02/01/2003 05:29 62 desktop.ini
1 fichier(s) 62 octets
12 R‚p(s) 52ÿ210ÿ364ÿ416 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\Default User\Application Data

17/07/2003 05:04 <REP> .
17/07/2003 05:04 <REP> ..
21/08/2003 20:48 <REP> Adobe
02/01/2003 05:36 <REP> Identities
21/08/2003 20:48 <REP> InterTrust
02/01/2003 05:29 <REP> Microsoft
21/08/2003 20:48 <REP> SampleView
21/08/2003 20:48 <REP> Sonic
21/08/2003 20:48 <REP> Symantec
02/01/2003 05:29 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 52ÿ210ÿ352ÿ128 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

02/01/2003 05:29 <REP> .
02/01/2003 05:29 <REP> ..
21/08/2003 20:48 <REP> ApplicationHistory
21/08/2003 20:48 <REP> Microsoft
21/08/2003 20:48 135 fusioncache.dat
21/08/2003 20:48 1ÿ422ÿ134 IconCache.db
2 fichier(s) 1ÿ422ÿ269 octets
4 R‚p(s) 52ÿ210ÿ352ÿ128 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

02/01/2003 05:39 <REP> .
02/01/2003 05:39 <REP> ..
02/01/2003 05:39 <REP> Microsoft
12/04/2006 20:48 <REP> ShopperReports
12/04/2006 20:53 <REP> Tray Manager
0 fichier(s) 0 octets
5 R‚p(s) 52ÿ210ÿ352ÿ128 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

02/01/2003 05:39 <REP> .
02/01/2003 05:39 <REP> ..
02/01/2003 05:39 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 52ÿ210ÿ352ÿ128 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

02/01/2003 05:39 <REP> .
02/01/2003 05:39 <REP> ..
02/01/2003 05:39 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 52ÿ210ÿ352ÿ128 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

02/01/2003 05:39 <REP> .
02/01/2003 05:39 <REP> ..
02/01/2003 05:39 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 52ÿ210ÿ352ÿ128 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\Propri‚taire\Application Data

17/07/2003 05:04 <REP> .
17/07/2003 05:04 <REP> ..
02/01/2003 06:29 <REP> Adobe
22/08/2003 17:34 <REP> ArcSoft
11/04/2006 12:52 <REP> Downloadsafe
27/03/2006 11:44 <REP> eConf
16/01/2006 14:03 <REP> EPSON
02/04/2006 08:26 <REP> FotoWire
03/01/2007 21:51 <REP> F-Secure
07/04/2006 17:10 <REP> Google
11/04/2006 13:04 <REP> HbTools
28/08/2003 16:45 <REP> Help
02/01/2003 05:39 <REP> Identities
02/01/2003 06:29 <REP> InterTrust
22/08/2003 17:39 <REP> InterVideo
27/03/2006 10:13 <REP> ispnews
11/09/2003 22:03 <REP> Macromedia
02/01/2003 05:39 <REP> Microsoft
27/05/2006 09:29 <REP> MSN Search Toolbar
05/04/2004 14:24 <REP> MSN6
12/05/2006 09:18 <REP> Registry Cleaner
02/01/2003 06:33 <REP> SampleView
06/07/2006 16:21 <REP> Shareaza
02/01/2003 06:28 <REP> Sonic
02/01/2003 08:27 <REP> Symantec
07/05/2006 10:06 <REP> TaoUSign
11/04/2006 12:52 <REP> Tray Manager
23/03/2004 10:50 <REP> VERITAS
17/04/2006 10:02 <REP> Wannadoo
05/08/2006 11:21 <REP> XCPCSync.OEM
02/01/2003 05:39 62 desktop.ini
17/09/2004 09:52 88ÿ488 GDIPFONTCACHEV1.DAT
2 fichier(s) 88ÿ550 octets
30 R‚p(s) 52ÿ210ÿ348ÿ032 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Documents and Settings\Propri‚taire\Local Settings\Application Data

02/01/2003 05:39 <REP> .
02/01/2003 05:39 <REP> ..
02/01/2003 06:48 <REP> ApplicationHistory
07/04/2006 17:10 <REP> Google
28/08/2003 16:45 <REP> Help
26/03/2006 21:35 <REP> Identities
10/06/2006 22:49 <REP> IM
01/04/2006 09:49 <REP> Logitech-LS
02/01/2003 05:39 <REP> Microsoft
14/11/2006 22:09 <REP> Oberon Games
23/10/2006 18:20 <REP> RcIncidents
27/03/2004 10:53 <REP> WMTools Downloaded Files
22/03/2004 17:34 39ÿ936 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
02/01/2003 06:50 135 fusioncache.dat
21/08/2003 22:21 154ÿ408 GDIPFONTCACHEV1.DAT
02/01/2003 05:53 3ÿ240ÿ372 IconCache.db
4 fichier(s) 3ÿ434ÿ851 octets
12 R‚p(s) 52ÿ210ÿ348ÿ032 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

17/07/2003 05:01 <REP> .
17/07/2003 05:01 <REP> ..
21/08/2003 20:53 <REP> Adobe
02/01/2003 05:38 <REP> Identities
21/08/2003 20:53 <REP> InterTrust
02/01/2003 05:38 <REP> Microsoft
21/08/2003 20:53 <REP> SampleView
21/08/2003 20:53 <REP> Sonic
21/08/2003 20:53 <REP> Symantec
02/01/2003 05:38 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 52ÿ210ÿ348ÿ032 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

02/01/2003 05:38 <REP> .
02/01/2003 05:38 <REP> ..
21/08/2003 20:53 <REP> ApplicationHistory
21/08/2003 20:26 <REP> Microsoft
21/08/2003 20:53 135 fusioncache.dat
21/08/2003 20:53 1ÿ422ÿ134 IconCache.db
2 fichier(s) 1ÿ422ÿ269 octets
4 R‚p(s) 52ÿ210ÿ343ÿ936 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\WINDOWS\Tasks

18/12/2006 08:25 286 Connexion facile … Internet.job
18/07/2006 15:24 588 Scheduled scanning task.job
28/08/2003 09:40 426 Symantec NetDetect.job
02/01/2003 13:25 65 desktop.ini
02/01/2003 05:36 6 SA.DAT
02/01/2003 05:34 <REP> ..
02/01/2003 05:34 <REP> .
5 fichier(s) 1ÿ371 octets
2 R‚p(s) 52ÿ210ÿ343ÿ936 octets libres

******************************************
## Répertoires de Program files

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\Program Files

12/01/2007 18:16 <REP> .
12/01/2007 18:16 <REP> ..
12/11/2005 12:47 <REP> ABBYY FineReader 4.0 Sprint
02/01/2003 06:29 <REP> Adobe
18/07/2006 15:02 <REP> AntivirusFirewall
24/08/2003 16:11 <REP> ArcSoft
07/04/2006 20:13 <REP> Astrologie & Devenir
21/08/2003 20:49 <REP> ATI Technologies
02/01/2003 05:33 <REP> ComPlus Applications
21/08/2003 20:50 <REP> DivX
18/12/2006 08:25 <REP> Easy Internet signup
10/01/2007 11:27 <REP> eMule
01/01/2007 16:14 <REP> eMule(2)
01/01/2007 16:13 <REP> eMule(3)
16/01/2006 14:33 <REP> EPSON
07/05/2006 15:51 <REP> Escntl
01/01/2007 16:14 <REP> Europress
05/08/2006 11:07 <REP> Fichiers communs
01/08/2006 12:14 <REP> FunWebProducts
23/11/2005 18:13 <REP> Girosoft
01/01/2007 16:13 <REP> Google
31/10/2004 14:34 <REP> green label
17/10/2006 18:29 <REP> HbTools
30/05/2006 16:39 <REP> HbTools_Icons
12/01/2007 15:19 <REP> Hijackthis Version Fran‡aise
21/08/2003 20:50 <REP> Home Media Networks Limited
01/01/2007 16:15 <REP> Hotbar
10/06/2006 23:01 <REP> IncrediMail
06/07/2006 11:06 276 INSTALL.LOG
11/10/2005 19:47 <REP> Intel
03/01/2007 22:38 <REP> Internet Explorer
02/01/2003 06:26 <REP> InterVideo
01/01/2007 16:15 <REP> Jardins3D
21/03/2006 10:52 <REP> Java
01/08/2005 17:45 <REP> Kings Mahjongg
02/04/2006 08:26 <REP> Logitech
27/05/2006 09:51 <REP> Macrogaming
11/09/2006 21:00 <REP> MailSkinner
01/01/2007 16:15 <REP> Maxicolor Screen Saver
23/12/2006 22:50 <REP> Messenger
19/12/2006 19:11 <REP> Messenger Plus! Live
01/01/2007 16:15 <REP> Micro Application
01/01/2003 17:54 <REP> Microsoft AutoRoute
01/01/2003 17:55 <REP> Microsoft Encarta
02/01/2003 05:36 <REP> microsoft frontpage
01/01/2003 17:54 <REP> Microsoft Money
01/01/2003 17:54 <REP> Microsoft Office
11/09/2006 21:00 <REP> Microsoft Picture It! 7
11/09/2006 21:01 <REP> Microsoft Works
01/01/2003 17:50 <REP> Microsoft Works Suite 2003
23/12/2006 14:49 <REP> Movie Maker
27/03/2006 12:40 <REP> MSN
01/01/2007 16:15 <REP> MSN Games
02/01/2003 05:33 <REP> MSN Gaming Zone
23/12/2006 17:08 <REP> MSN Messenger
27/05/2006 09:25 <REP> MSN Toolbar Suite
23/12/2006 22:48 <REP> MSXML 4.0
01/08/2006 12:14 <REP> MyWebSearch
05/08/2006 11:11 <REP> NEC
11/09/2006 21:01 <REP> NEC Synchronization
23/12/2006 14:42 <REP> NetMeeting
25/12/2004 15:05 <REP> OLYMPUS
23/12/2006 22:47 <REP> Outlook Express
01/01/2007 20:44 <REP> PartyGaming
13/09/2006 09:55 <REP> Picasa2
16/09/2003 10:40 <REP> Print Shop
09/10/2006 14:17 <REP> QuickTime
02/01/2003 06:28 <REP> RecordNow
05/01/2007 18:36 <REP> SdLL
27/03/2006 09:59 <REP> Securitoo
02/01/2003 06:40 <REP> Services en ligne
11/09/2006 21:01 <REP> SLD Codec Pack
12/10/2003 13:57 <REP> Softkey
28/03/2006 11:49 <REP> Symantec
02/01/2003 05:39 <REP> Uninstall Information
12/01/2007 13:28 <REP> Wanadoo
06/01/2007 20:28 <REP> Wanadoo Messager
01/01/2007 16:13 <REP> WinamaxPoker
24/12/2006 18:37 <REP> Windows Media Connect 2
24/12/2006 18:39 <REP> Windows Media Player
23/12/2006 14:42 <REP> Windows NT
02/01/2003 05:36 <REP> xerox
06/01/2007 20:29 <REP> ZTE Corporation
1 fichier(s) 276 octets
82 R‚p(s) 52ÿ210ÿ339ÿ840 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
cache.yacast.fr/ REG_BINARY
webmessenger.msn.com/ REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\WINDOWS

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est F4F1-56A4

R‚pertoire de C:\WINDOWS


*************** Fin du rapport ****************
0
Réponse 2 / 3
Utilisateur anonyme
12 janv. 2007 à 22:18
Re

Ces deux rapports montrent plusieurs infections différentes.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).


$$ Va sur le lien suivant
https://www.sendspace.com/file/5w7wiq
FAIS UN CLIC-DROIT sur MyWebSearch.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger MyWebSearch.bfu. Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir trois fichiers dans le dossier C:\BFU : MyWebSearch.bfu, EGDACCESS.bfu et BFU.exe (très important).


$$ Va sur le lien suivant
https://www.sendspace.com/file/movqlv
FAIS UN CLIC-DROIT sur HOTBAR.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger HOTBAR.bfu. Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir quatre fichiers dans le dossier C:\BFU : HOTBAR.bfu, MyWebSearch.bfu, EGDACCESS.bfu et BFU.exe (très important).


$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.


--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

HOTBAR.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\HOTBAR.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.


--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

MyWebSearch.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\MyWebSearch.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.


Clique Exit pour fermer le programme BFU.


$$ Redémarre normalement

Poste un nouveau hijackthis avec le rapport situé ici C:\egd.txt
Signale tu as eu des difficultés.
0
lagon2 Messages postés 2 Date d'inscription vendredi 12 janvier 2007 Statut Membre Dernière intervention 14 janvier 2007
14 janv. 2007 à 09:10
merci pour ton aide je vais essayer , par contre hier j'ai fais un antivirus en ligne il ma enlever 4 infections mais l'ordi est toujours infesté.une petite précision quand tu dis décompresse le fichier c'est quoi exactement?
0
Réponse 3 / 3
Utilisateur anonyme
14 janv. 2007 à 14:37
Bonjour

Décompresser = dézipper.
Regarde ce lien, tu as plusieurs explications en image.


Il y a une modification dans la manip, le lien pour HOTBAR.bfu a changé, car le script a été modifié.
Clique sur ce lien à la place de l'autre
https://www.sendspace.com/file/jcokae
0
lagon2
16 janv. 2007 à 11:52
merci chercheurbis d' avoir répondu à mon problème mais je n'ose pas me lancer dans la procédure que tu m'a indiqué.
donc par mesure de simplicité j'emmène mon PC pour le faire reformater.
merci encore bonne journée.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses