[Trojan] TR/Obfuscated.BL

Résolu
crazylocks -  
salwa5 Messages postés 7552 Statut Contributeur -
Bonjour,
Antivir détecte TR/Obfuscated.BL
Configuration: Windows XP
Internet Explorer 7.0

15 réponses

  1. crazylocks
     
    pardon,
    voila le rapport hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 19:00:48, on 12/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\S24EvMon.exe
    C:\WINDOWS\system32\ZCfgSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\1XConfig.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\RegSrvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\BCMSMMSG.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Winamp\Winamp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Documents and Settings\Cécile\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [team less software sect] C:\Documents and Settings\All Users\Application Data\PeakDateTeamLess\Skip sign.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Love Dumb] C:\DOCUME~1\CCILE~1\APPLIC~1\THENAM~1\tons beep.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
    O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

    et celui avec lopxpMH2.bat

    Rapport fait à 19:18:14,59 le 12/01/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

    07/10/2004 12:15 <REP> .
    07/10/2004 12:15 <REP> ..
    07/10/2004 12:15 <REP> AOL
    07/10/2004 12:15 <REP> Identities
    07/10/2004 12:15 <REP> Jasc Software Inc
    07/10/2004 12:15 <REP> Microsoft
    07/10/2004 12:15 <REP> Sonic
    07/10/2004 12:15 <REP> Sun
    07/10/2004 12:15 <REP> You've Got Pictures Screensaver
    07/10/2004 12:15 62 DESKTOP.INI
    1 fichier(s) 62 octets
    9 R‚p(s) 11ÿ502ÿ022ÿ656 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

    07/10/2004 12:15 <REP> .
    07/10/2004 12:15 <REP> ..
    07/10/2004 12:15 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    07/10/2004 12:15 <REP> Microsoft
    07/10/2004 12:15 2ÿ216ÿ720 IconCache.db
    1 fichier(s) 2ÿ216ÿ720 octets
    4 R‚p(s) 11ÿ502ÿ022ÿ656 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    19/08/2005 18:04 <REP> Adobe
    13/02/2006 13:54 <REP> AntiVir PersonalEdition classic
    02/10/2004 13:55 <REP> AOL
    27/08/2006 15:26 <REP> Google
    21/07/2005 14:36 <REP> Macrovision
    02/10/2004 13:55 <REP> McAfee.com
    02/10/2004 12:49 <REP> Microsoft
    08/10/2004 11:29 <REP> MSN6
    11/01/2007 01:51 <REP> PeakDateTeamLess
    02/10/2004 13:57 <REP> QuickTime
    02/10/2004 13:46 <REP> SBSI
    11/01/2007 23:06 <REP> Spybot - Search & Destroy
    02/10/2004 13:57 <REP> Viewpoint
    29/08/2006 09:26 <REP> Windows Genuine Advantage
    13/02/2006 14:56 305 addr_file.html
    18/09/2002 11:27 62 DESKTOP.INI
    2 fichier(s) 367 octets
    16 R‚p(s) 11ÿ502ÿ022ÿ656 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\C‚cile\Application Data

    06/10/2004 17:07 <REP> .
    06/10/2004 17:07 <REP> ..
    19/08/2005 17:50 <REP> Adobe
    06/10/2004 17:07 <REP> AOL
    08/10/2004 09:11 <REP> CyberLink
    05/09/2005 17:45 <REP> Google
    20/10/2004 17:46 <REP> Help
    06/10/2004 17:07 <REP> Identities
    06/10/2004 17:07 <REP> Jasc Software Inc
    07/10/2004 17:36 <REP> Leadertech
    07/10/2004 15:02 <REP> Macromedia
    02/01/2006 15:36 <REP> Media Player Classic
    06/10/2004 17:07 <REP> Microsoft
    03/01/2005 17:33 <REP> Microsoft Web Folders
    08/10/2004 11:29 <REP> MSN6
    29/01/2006 16:56 <REP> Real
    22/10/2006 20:46 <REP> Skype
    06/10/2004 17:07 <REP> Sonic
    06/10/2004 17:07 <REP> Sun
    07/10/2004 11:13 <REP> Template
    12/01/2007 18:59 <REP> THE NAME
    30/09/2006 21:53 <REP> uTorrent
    18/08/2006 22:38 <REP> vlc
    06/10/2004 17:07 <REP> You've Got Pictures Screensaver
    06/10/2004 17:07 62 DESKTOP.INI
    21/08/2006 17:56 92ÿ368 errorsafescannerinstall_fr[1].exe
    10/02/2006 20:38 25ÿ550 Valeurs s‚par‚es par des tabulations (Windows).ADR
    10/02/2006 20:36 7ÿ288 Valeurs s‚par‚es par des tabulations (Windows).NOT
    10/02/2006 20:32 38ÿ475 Valeurs s‚par‚es par des virgules (Windows).ADR
    5 fichier(s) 163ÿ743 octets
    24 R‚p(s) 11ÿ502ÿ018ÿ560 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\C‚cile\Local Settings\Application Data

    06/10/2004 17:07 <REP> .
    06/10/2004 17:07 <REP> ..
    06/10/2004 17:07 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    12/07/2005 13:09 <REP> ApplicationHistory
    07/10/2004 12:29 <REP> Dell
    27/08/2006 15:26 <REP> Google
    20/10/2004 17:46 <REP> Help
    13/11/2006 20:36 <REP> Identities
    06/10/2004 17:07 <REP> Microsoft
    08/10/2004 09:10 <REP> Powercinema
    03/01/2006 22:23 <REP> PowerDVD
    13/11/2006 20:09 <REP> RcIncidents
    06/02/2006 17:35 <REP> WMTools Downloaded Files
    08/10/2004 14:28 100ÿ352 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    12/07/2005 13:09 129 fusioncache.dat
    02/03/2005 23:54 64ÿ080 GDIPFONTCACHEV1.DAT
    30/01/2006 22:03 4ÿ322ÿ828 IconCache.db
    4 fichier(s) 4ÿ487ÿ389 octets
    13 R‚p(s) 11ÿ502ÿ018ÿ560 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    06/10/2004 17:06 <REP> AOL
    06/10/2004 17:06 <REP> Identities
    06/10/2004 17:06 <REP> Jasc Software Inc
    02/10/2004 12:49 <REP> Microsoft
    06/10/2004 17:06 <REP> Sonic
    06/10/2004 17:06 <REP> Sun
    06/10/2004 17:06 <REP> You've Got Pictures Screensaver
    18/09/2002 11:27 62 DESKTOP.INI
    1 fichier(s) 62 octets
    9 R‚p(s) 11ÿ502ÿ006ÿ272 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    06/10/2004 17:06 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    06/10/2004 17:06 <REP> Microsoft
    06/10/2004 17:06 3ÿ691ÿ896 IconCache.db
    1 fichier(s) 3ÿ691ÿ896 octets
    4 R‚p(s) 11ÿ502ÿ006ÿ272 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    02/10/2004 12:49 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ502ÿ006ÿ272 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    02/10/2004 12:49 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ502ÿ006ÿ272 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    02/10/2004 12:49 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ502ÿ006ÿ272 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    02/10/2004 12:49 <REP> .
    02/10/2004 12:49 <REP> ..
    02/10/2004 12:49 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ502ÿ002ÿ176 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Documents and Settings\Propri‚taire\Application Data

    21/10/2004 18:33 <REP> .
    21/10/2004 18:33 <REP> ..
    21/10/2004 18:33 <REP> You've Got Pictures Screensaver
    0 fichier(s) 0 octets
    3 R‚p(s) 11ÿ502ÿ002ÿ176 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    02/10/2004 12:43 <REP> .
    02/10/2004 12:43 <REP> ..
    06/10/2004 17:06 <REP> AOL
    06/10/2004 17:06 <REP> Identities
    06/10/2004 17:06 <REP> Jasc Software Inc
    02/10/2004 12:43 <REP> Microsoft
    06/10/2004 17:06 <REP> Sonic
    06/10/2004 17:06 <REP> Sun
    06/10/2004 17:06 <REP> You've Got Pictures Screensaver
    18/09/2002 11:27 62 DESKTOP.INI
    1 fichier(s) 62 octets
    9 R‚p(s) 11ÿ502ÿ002ÿ176 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    02/10/2004 12:54 <REP> .
    02/10/2004 12:54 <REP> ..
    06/10/2004 17:06 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    06/10/2004 17:06 <REP> Microsoft
    06/10/2004 17:06 3ÿ691ÿ896 IconCache.db
    1 fichier(s) 3ÿ691ÿ896 octets
    4 R‚p(s) 11ÿ502ÿ002ÿ176 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\WINDOWS\Tasks

    06/10/2004 17:06 258 Rappel d'abonnement 1 auprŠs de l'ISP.job
    02/10/2004 13:30 6 SA.DAT
    02/10/2004 12:49 <REP> ..
    02/10/2004 12:49 <REP> .
    30/08/2002 07:00 65 DESKTOP.INI
    3 fichier(s) 329 octets
    2 R‚p(s) 11ÿ502ÿ002ÿ176 octets libres

    ******************************************
    ## Répertoires de Program files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\Program Files

    11/01/2007 23:05 <REP> .
    11/01/2007 23:05 <REP> ..
    08/10/2004 14:17 <REP> ACD Systems
    21/07/2005 14:31 <REP> Adobe
    04/01/2007 07:27 <REP> AntiVir PersonalEdition Classic
    20/02/2005 17:30 <REP> AnyDVD
    30/11/2004 10:35 <REP> Apoint
    11/01/2007 01:56 <REP> BitGrabber
    26/12/2005 01:26 <REP> Canon
    31/08/2006 21:24 <REP> CCleaner
    16/12/2006 15:30 <REP> CD-Universalis 3
    05/06/2006 16:49 <REP> Cisco Systems
    20/02/2005 17:38 <REP> CloneDVD2
    02/10/2004 13:57 <REP> Common Files
    02/10/2004 12:49 <REP> ComPlus Applications
    04/02/2006 00:23 <REP> CyberLink
    15/11/2006 18:14 <REP> dBpowerAMP
    03/01/2006 19:09 <REP> Dell
    02/10/2004 13:49 <REP> Dell Computer Corporation
    05/06/2006 16:48 <REP> Fichiers communs
    07/05/2006 18:31 <REP> FileZilla
    30/11/2004 10:39 <REP> Free.fr
    02/11/2006 12:37 <REP> Google
    29/04/2006 18:01 <REP> Google Earth
    02/10/2004 13:49 <REP> Intel
    20/12/2006 10:30 <REP> Internet Explorer
    06/02/2005 17:53 <REP> Jasc Software Inc
    02/10/2004 13:43 <REP> Java
    02/01/2006 15:35 <REP> K-Lite Codec Pack
    02/10/2004 13:57 <REP> Learn2.com
    03/11/2004 21:16 <REP> Lionhead Studios Ltd
    23/06/2005 00:26 <REP> messenger
    06/03/2005 14:31 <REP> Messengerold
    02/10/2004 12:50 <REP> microsoft frontpage
    08/10/2004 15:08 <REP> Microsoft Games
    08/10/2004 14:51 <REP> Microsoft Money
    09/06/2006 08:19 <REP> Microsoft Office
    30/11/2004 10:35 <REP> Microsoft Works
    01/12/2006 14:17 <REP> Microsoft.NET
    30/11/2004 10:35 <REP> Modem Helper
    22/06/2005 13:08 <REP> Movie Maker
    13/10/2006 20:02 <REP> MSN
    02/10/2004 12:49 <REP> MSN Gaming Zone
    30/11/2005 21:35 <REP> MSN Messenger
    22/06/2005 13:03 <REP> NetMeeting
    21/12/2005 19:15 <REP> OLYMPUS
    16/12/2006 15:27 <REP> Outlook Express
    21/07/2005 14:31 <REP> Photoshop CS
    02/10/2004 13:57 <REP> QuickTime
    02/10/2004 13:56 <REP> Real
    02/10/2004 12:49 <REP> Services en ligne
    22/10/2006 20:46 <REP> Skype
    02/10/2004 13:51 <REP> Sonic
    11/01/2007 23:09 <REP> Spybot - Search & Destroy
    11/01/2007 01:51 <REP> THE NAME
    31/12/2006 17:22 <REP> TreeSize
    30/09/2006 21:53 <REP> uTorrent
    18/08/2006 22:34 <REP> VideoLAN
    02/10/2004 13:57 <REP> Viewpoint
    02/11/2004 17:43 <REP> Winamp
    15/02/2006 19:36 <REP> Windows Media Player
    22/06/2005 13:03 <REP> Windows NT
    05/07/2005 12:39 <REP> WinRAR
    21/07/2005 14:19 <REP> WinZip
    02/10/2004 12:50 <REP> XEROX
    21/07/2005 14:48 <REP> Zone Labs
    0 fichier(s) 0 octets
    66 R‚p(s) 11ÿ501ÿ998ÿ080 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    netsearchsoft.com REG_SZ
    www.netsearchsoft.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ******************************************
    ## Registre

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    team less software sect REG_SZ C:\Documents and Settings\All Users\Application Data\PeakDateTeamLess\Skip sign.exe

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Love Dumb REG_SZ C:\DOCUME~1\CCILE~1\APPLIC~1\THENAM~1\tons beep.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\WINDOWS

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est B4D1-D89E

    R‚pertoire de C:\WINDOWS

    *************** Fin du rapport ****************
    0
  2. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour ouvre hijack coches ces lignes puis click sur fix checked

    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

    O4 - HKLM\..\Run: [team less software sect] C:\Documents and Settings\All Users\Application Data\PeakDateTeamLess\Skip sign.exe

    O4 - HKCU\..\Run: [Love Dumb] C:\DOCUME~1\CCILE~1\APPLIC~1\THENAM~1\tons beep.exe

    O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab

    va dans demarrer/ rechercher tape :

    tons beep.exe
    Skip sign.exe

    supprime les puis vide la corbeille

    AVG anti spyware
    https://www.01net.com/telecharger/

    (n'oublie pas de le mettre a jour avant de lancer le scan)

    Relance AVG AS puis choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres"
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions "

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici

    supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

    Ccleaner
    https://www.malekal.com/tutoriel-ccleaner/

    - Nettoye ta base de registre avec

    regcleaner :

    https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/

    tutorial

    lance regcleaner /click sur le menu option / netoyage du registre/sauvegardes/ coches creé une sauvegarde globale

    ensuite pour effectuer un netoyage du regsitre :

    click sur le menu outils / netoyage du registre/ tout faire

    apres la fin du scan

    click sur le menu selection / tout / ensuite click sur surpprimé la selection ( en bas a droite)

    a++++
    0
  3. crazylocks
     
    Merci pour ton aide!

    J'arrive à supprimer tons beep.exe, mais il revient tout le temps
    par contre skip sign ne peut pas être supprimé car il est utilisé par un autre programme...

    Je vais essayer la suite.
    0
  4. crazylocks
     
    et voila le rapport :

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 22:01:17 12/01/2007

    + Résultat de l'analyse:

    C:\Documents and Settings\Cécile\Application Data\errorsafescannerinstall_fr[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\Cécile\Cookies\cécile@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@lop[1].txt -> TrackingCookie.Lop : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@www.lop[1].txt -> TrackingCookie.Lop : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\Cécile\Cookies\cécile@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.

    Fin du rapport

    merci
    qu'est-ce qui se passe après?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    repost un nouveau hijack stp

    a++
    0
  7. crazylocks
     
    Logfile of HijackThis v1.99.1
    Scan saved at 22:20:51, on 12/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\S24EvMon.exe
    C:\WINDOWS\system32\ZCfgSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\1XConfig.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\RegSrvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\BCMSMMSG.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Adobe\Acrobat 4.0\Acrobat\Acrobat.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Cécile\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
    0
  8. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    ton log est propre as tu d'autre problemes?

    a+++
    0
  9. crazylocks
     
    t'es sur?
    parce que j'arrive toulours pas à supprimer skip sign.exe et j'ai encore des pop-up qui apparaissent à tout moment.
    0
  10. crazylocks
     
    je croyais que j'avais pas besoin de pare feu parce que ma freebox est en routeur ou quelque chose comme ça...
    mais bon dans le doute, j'installe...

    Merci beaucoup
    0
  11. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    essay de le supprimé en mode sans echec

    redemare en mode sans echec (redemarrage + tapotte sans arret sur la touche F8 desque l'ordi s'allume)

    va dans demarrer / rechercher : tape

    tons beep.exe
    Skip sign.exe

    supprime les et vide ta corbeille

    esque tu connais ce programe Messengerold

    si tu ne connais pas alors desinstalle le dans ajout/ suppression de programe
    a++
    0
  12. crazylocks
     
    Ca marche!
    j'ai réussi à supprimé le fichier
    et j'ai pas encore eu de pop-up.

    par contre messengerold je ne connais pas, il n'apparait pas dans ajout/suppression de programmes, je l'ai trouvé dans program file mais il n'ya pas pas fichier de désinstallation. Je fais quoi? Je supprime tout? ou il y a une solution plus "propre"?

    Merci
    a+
    0
  13. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    pour messengerold c'est bon je me suis rensiegné ca correspond a windows messenger

    install quand meme le parefeu kerio ca empechera les virus de revenir

    pour finir quelque conseils de base :

    si tu as d'autre soucis n'hesite pas a revenir

    * Ne pas telecharger n'importe quoi

    * Ne pas ouvrir des pieces jointes d'un expediteur inconnu

    * Toujour analysé un fichier recu via msn ou autre avec ton antivirus

    * Ne pas cliqué sur des lien louche dans msn

    * Passe reglierement les antispyware (adaware , spybot , avg .. ect) pense a les mettre ajour avant de les lancé c'est tres important

    * Supprime regulierement les fichiers inutiles (fichiers temporaire , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/

    * Netoye ta base de registre avec regcleaner https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/

    * Utiliser le navigateur Mozzilla il est plus sure http://www.mozilla-europe.org/fr/products/firefox/

    -Maintenant que ton ordinateur est propre je te conseille de creer un point de restauration comme ca en cas de probleme (virus , plantage ..ect) tu poura tjr revenir en arriere
    http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html

    a+++

    Bon surf ;)
    0
  14. crazylocks
     
    OK je garde Kerio.

    Vraiment merci beaucoup
    a +
    0
  15. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    de rien :)

    a++
    0