Sujet Précédent Sujet Suivant

[Virus] Infecté par tr/obfuscated

Résolu/Fermé
Laurent01110 - 16 janv. 2007 à 21:59
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 - 7 juil. 2008 à 23:17
Bonsoir,

J'ai un problème avec un certain "Tr/obfuscated". Voici le rapport de Hijack:



Logfile of HijackThis v1.99.1
Scan saved at 21:45:53, on 16/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Program Files\Lexmark 3100 Series\lxbrcmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Ins3DT] D:\INSTALL4\INS3DT.EXE
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [four win gpl mapi] C:\Documents and Settings\All Users\Application Data\dentbashfourwin\Multi bleh.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Title soap] C:\DOCUME~1\Clotilde\APPLIC~1\OWNSSP~1\mix amen 32.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Merci d'avance

Laurent

22 réponses

  • 1
  • 2
Réponse 1 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
16 janv. 2007 à 22:12
Salut

Télécharge lopxp ici:

http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+
0
Réponse 2 / 22
Laurent01110
16 janv. 2007 à 22:29
Bonsoir,

Je ne comprends pas trop la procédure lopx.bat n'apparait pas une fois dézippé...mais j'ai à la place des fichiers avec des photos, un autre impossible à ouvrir et une image....En tout cas aucun lopx.bat !!!!Es-tu sur de ton lien ...?

Laurent
0
Réponse 3 / 22
Laurent01110
17 janv. 2007 à 17:37
Le lien que tu m'avais donné ne marchait pas. J'ai trouvé un autre lien pour lopx. Voici son rapport :

Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\All Users\Application Data

16/08/2005 11:49 <REP> .
16/08/2005 11:49 <REP> ..
29/11/2006 21:33 <REP> Adobe
11/02/2006 10:31 <REP> AntiVir PersonalEdition classic
16/08/2005 12:10 <REP> CyberLink
15/01/2007 19:09 <REP> dentbashfourwin
29/11/2006 21:26 <REP> Google
27/11/2006 20:21 <REP> Google Updater
16/08/2005 11:49 <REP> Microsoft
09/10/2005 19:43 <REP> QuickTime
26/03/2006 18:54 <REP> Spybot - Search & Destroy
16/08/2005 12:57 <REP> Windows Genuine Advantage
24/12/2006 12:06 <REP> Windows Live Toolbar
16/01/2007 21:33 <REP> Yahoo! Companion
15/02/2006 10:36 305 addr_file.html
16/08/2005 11:49 62 desktop.ini
2 fichier(s) 367 octets
14 R‚p(s) 13ÿ874ÿ024ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\Clotilde\Application Data

17/08/2005 16:00 <REP> .
17/08/2005 16:00 <REP> ..
18/08/2005 17:25 <REP> Adobe
01/12/2006 21:37 <REP> AdobeUM
15/01/2007 19:09 <REP> BitDownload
24/12/2005 16:47 <REP> BitTorrent
19/12/2005 10:13 <REP> Google
04/09/2005 08:13 <REP> Help
17/08/2005 16:00 <REP> Identities
30/08/2005 08:30 <REP> InterVideo
26/03/2006 19:35 <REP> Lavasoft
17/09/2005 11:03 <REP> Macromedia
17/08/2005 16:00 <REP> Microsoft
29/12/2005 11:41 <REP> Mozilla
29/12/2005 11:37 <REP> Musicmatch
23/03/2006 18:22 <REP> OpenOffice.org2
15/01/2007 19:08 <REP> OwnsSpamFive
23/11/2005 15:57 <REP> Real
30/08/2006 10:30 <REP> Serif
15/01/2006 11:21 <REP> Sun
29/12/2005 11:52 <REP> Talkback
29/12/2005 11:52 <REP> Thunderbird
07/09/2006 19:36 <REP> U3
17/08/2005 16:00 62 desktop.ini
1 fichier(s) 62 octets
23 R‚p(s) 13ÿ874ÿ024ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\Clotilde\Local Settings\Application Data

17/08/2005 16:00 <REP> .
17/08/2005 16:00 <REP> ..
01/12/2006 21:36 <REP> Adobe
31/10/2005 21:10 <REP> Google
04/09/2005 08:13 <REP> Help
18/08/2005 17:56 <REP> Identities
17/11/2005 17:25 <REP> Logitech-LS
17/08/2005 16:00 <REP> Microsoft
29/12/2005 11:41 <REP> Mozilla
29/12/2005 11:35 <REP> Musicmatch
29/12/2005 11:52 <REP> Thunderbird
03/09/2005 06:41 135ÿ680 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
17/08/2005 16:00 22ÿ016 GDIPFONTCACHEV1.DAT
30/11/2006 21:20 6ÿ953ÿ536 IconCache.db
3 fichier(s) 7ÿ111ÿ232 octets
11 R‚p(s) 13ÿ874ÿ024ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\Default User\Application Data

16/08/2005 11:49 <REP> .
16/08/2005 11:49 <REP> ..
16/08/2005 11:49 <REP> Microsoft
16/08/2005 11:49 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 13ÿ874ÿ012ÿ160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

16/08/2005 11:49 <REP> .
16/08/2005 11:49 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\Laurent

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

16/08/2005 11:06 <REP> .
16/08/2005 11:06 <REP> ..
12/01/2007 20:22 <REP> Help
16/08/2005 11:06 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

16/08/2005 11:06 <REP> .
16/08/2005 11:06 <REP> ..
15/01/2007 21:38 <REP> Google
12/01/2007 20:22 <REP> Help
16/08/2005 11:06 <REP> Microsoft
0 fichier(s) 0 octets
5 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

16/08/2005 11:06 <REP> .
16/08/2005 11:06 <REP> ..
16/08/2005 11:06 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

16/08/2005 11:06 <REP> .
16/08/2005 11:06 <REP> ..
16/08/2005 11:06 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

16/08/2005 11:05 <REP> .
16/08/2005 11:05 <REP> ..
16/08/2005 11:05 <REP> Microsoft
16/08/2005 11:05 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

16/08/2005 11:05 <REP> .
16/08/2005 11:05 <REP> ..
16/08/2005 17:23 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\WINDOWS\Tasks

15/01/2007 19:09 280 A965229791C2A157.job
16/08/2005 11:02 6 SA.DAT
16/08/2005 11:00 65 desktop.ini
16/08/2005 11:00 <REP> ..
16/08/2005 11:00 <REP> .
3 fichier(s) 351 octets
2 R‚p(s) 13ÿ874ÿ008ÿ064 octets libres

******************************************
## Répertoires de Program files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\Program Files

16/01/2007 22:05 <REP> .
16/01/2007 22:05 <REP> ..
16/08/2005 12:31 <REP> ABBYY FineReader 5.0 Sprint
16/08/2005 12:31 <REP> ABBYY FineReader 6.0
01/12/2006 22:01 <REP> Adobe
16/08/2005 11:55 <REP> Ahead
05/01/2007 12:38 <REP> AntiVir PersonalEdition Classic
12/02/2006 22:51 11ÿ274ÿ912 antivir_workstation_win7u_en_h.exe
16/08/2005 11:33 <REP> ASUS
16/08/2005 11:37 <REP> ASUS Features
16/01/2007 18:18 <REP> BitDownload
07/01/2007 20:12 <REP> BitTorrent
02/04/1999 18:08 164ÿ752 Bwcc.dll
16/01/2007 21:30 <REP> CCleaner
06/09/2006 20:09 <REP> Classiques Garnier
21/02/2000 12:38 574ÿ976 Clic.exe
28/12/1999 09:59 171ÿ572 Clic.hlp
13/01/2007 16:32 476 Clic.ini
18/12/1999 22:14 76ÿ633 CLICDB.exe
28/12/1999 10:07 24ÿ091 CLICDB.HLP
02/04/1999 19:14 131ÿ072 clicdb.mdb
14/04/1999 21:26 26ÿ157 clicrep.exe
16/08/2005 10:59 <REP> ComPlus Applications
25/10/2005 14:23 <REP> Coop‚rative scolaire
16/08/2005 12:10 <REP> CyberLink
14/04/1999 21:26 9ÿ237 Desinst.exe
10/09/2006 10:28 <REP> DivX
19/12/2005 19:35 11ÿ477ÿ288 DivXPlay.exe
20/05/2006 19:33 <REP> E-Color
15/01/2007 19:05 <REP> eMule
30/11/2006 20:17 <REP> Fichiers communs
22/12/2006 20:20 <REP> Google
16/01/2007 21:18 <REP> Grisoft
19/12/2005 19:33 217ÿ329 gspot221.exe
13/01/2007 18:55 <REP> Hewlett-Packard
16/01/2007 21:45 <REP> Hijackthis Version Fran‡aise
30/12/2006 20:37 <REP> illiminable
23/11/2006 20:15 <REP> Internet Explorer
12/02/2006 22:47 <REP> InterVideo
30/11/2006 20:55 <REP> Invisible Secrets 4
26/02/2006 10:13 <REP> jade
11/01/2007 21:32 <REP> Java
26/03/2006 19:35 <REP> Lavasoft
16/08/2005 12:32 <REP> Lexmark 3100 Series
28/12/1999 11:35 11ÿ392 lisezmoi.wri
02/12/2006 21:09 <REP> Livret d‚partemental d'‚valuations Cycle 3
30/11/2006 20:18 <REP> Logitech
17/08/2005 18:59 <REP> Messenger
16/08/2005 11:03 <REP> microsoft frontpage
16/08/2005 11:41 <REP> Microsoft Office
16/08/2005 11:43 <REP> Microsoft Visual Studio
16/08/2005 17:11 <REP> Movie Maker
17/01/2007 16:32 <REP> Mozilla Firefox
17/01/2007 16:31 <REP> Mozilla Thunderbird
20/05/2006 19:35 <REP> MSI
16/08/2005 12:11 <REP> MSIDVD
16/08/2005 10:59 <REP> MSN
16/08/2005 10:59 <REP> MSN Gaming Zone
20/12/2005 19:39 <REP> MSN Messenger
20/05/2006 19:36 <REP> Musicmatch
16/08/2005 17:09 <REP> NetMeeting
03/01/2007 14:26 28ÿ433ÿ124 ooohg.exe
16/09/2006 21:07 <REP> OpenOffice.org 2.0
21/12/2006 18:32 <REP> Outlook Express
15/01/2007 19:08 <REP> OwnsSpamFive
06/03/2006 21:35 <REP> PhotoFiltre
31/12/2006 15:21 <REP> Pulmo
31/12/2006 15:21 2ÿ295ÿ546 Pulmo.exe
23/11/2005 15:49 <REP> QuickTime
23/11/2005 15:58 <REP> Real
16/01/2007 22:08 <REP> RegCleaner
16/08/2005 12:41 <REP> SAGEM
16/08/2005 11:01 <REP> Services en ligne
16/08/2005 11:31 <REP> Silicon Image
27/03/2006 16:42 <REP> Spybot - Search & Destroy
09/06/1996 13:52 34ÿ864 Unwise.exe
30/12/2006 18:08 <REP> Winamp
16/01/2007 19:52 <REP> Windows Live Toolbar
16/02/2006 13:56 <REP> Windows Media Player
16/08/2005 17:09 <REP> Windows NT
04/12/2006 20:54 <REP> WinRAR
16/08/2005 11:03 <REP> xerox
16/01/2007 21:30 <REP> Yahoo!
16 fichier(s) 54ÿ923ÿ421 octets
67 R‚p(s) 13ÿ874ÿ003ÿ968 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
netsearchsoft.com REG_SZ
www.netsearchsoft.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\CLOTILDE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2C4ITF66.DEFAULT\HOSTPERM.1
host popup 1 webmail.ac-lyon.fr
host popup 1 ce.ac-lyon.fr
host popup 1 www.ouverture-facile.com

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
four win gpl mapi REG_SZ C:\Documents and Settings\All Users\Application Data\dentbashfourwin\Multi bleh.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Title soap REG_SZ C:\DOCUME~1\Clotilde\APPLIC~1\OWNSSP~1\mix amen 32.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\WINDOWS

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6CDC-685C

R‚pertoire de C:\WINDOWS


*************** Fin du rapport ****************
0
Réponse 4 / 22
Laurent01110
17 janv. 2007 à 17:52
Voici un lien qui fonctionne pour lopx:

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

L'autre lien précédement cité renvoye sur "harrypointer".

Laurent
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 20:15
Re,

Désolé. Quelques problemes sur l ancien lien, peut etre une attaque faite sur ce site...

Rend toi dans ajout/suppression de programme
clik sur msn+ et tu auras le choix de supprimer le programme ou les sponsors, choisis les sponsors.

Et remet un hijack this

a+
0
Réponse 6 / 22
Laurent01110
17 janv. 2007 à 20:30
Je n'ai pas de MSN + sur le PC. Dans ajout supression programme j'ai MSN 7.5. Je supprime Msn 7.5 ???

Laurent
0
Réponse 7 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 20:52
Re,

C'est bien indiqué MSN7.5 & sponsors?
Si oui, clik supprimer les sponsors.

A+
0
Réponse 8 / 22
Laurent01110
17 janv. 2007 à 20:56
Il n'y a marqué que MSN 7.5 ! Il n'y a aucune référence aux sponsors.

Laurent
0
Réponse 9 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 21:11
Bonjour,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

Déconnecte toi d'Internet et ferme tout les programmes en cours.

 Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

 Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [four win gpl mapi] C:\Documents and Settings\All Users\Application Data\dentbashfourwin\Multi bleh.exe

O4 - HKCU\..\Run: [Title soap] C:\DOCUME~1\Clotilde\APPLIC~1\OWNSSP~1\mix amen 32.exe

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\All Users\Application Data\dentbashfourwin

C:\Documents and Settings\Clotilde\Application Data\OwnsSpamFive

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\A965229791C2A157.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Exécute cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

Précises moi ou en sont tes soucis…

A+

0
Réponse 10 / 22
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
17 janv. 2007 à 21:18
up !

;-))
0
Réponse 11 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 21:20
J'ai failli t appeller ;)
0
Réponse 12 / 22
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
17 janv. 2007 à 21:24
lol

fallait pas hesité ;-)))
0
Réponse 13 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 21:30
La prochaine fois alors :-D
0
Réponse 14 / 22
green day Messages postés 26371 Date d'inscription vendredi 30 septembre 2005 Statut Modérateur, Contributeur sécurité Dernière intervention 27 décembre 2019 2 162
17 janv. 2007 à 21:39
;-P
0
Réponse 15 / 22
Laurent01110
17 janv. 2007 à 21:42
c'est fait j'ai tout suivi à la lettre. Voici le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 21:38:05, on 17/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Lexmark 3100 Series\lxbrcmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitTorrent\bittorrent.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ins3DT] D:\INSTALL4\INS3DT.EXE
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Je vous remercie pour votre aide. Je ne sais pas si j'en ai fini avec cette infection...En tout cas je vous remercie vraiment beaucoup pour votre sérieux !

Laurent
0
Réponse 16 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 21:47
Salut

Il est ok.
As tu encore des références a "Tr/obfuscated"?

A+
0
Réponse 17 / 22
Laurent01110
17 janv. 2007 à 21:55
Qu'entends-tu par "avoir des références à Tt/obfuscated" ?

Est ce que j'ai antivir que m'indique une détection de Tr/obfuscated ?

Je n'ai encore rien eu mais en une journée j'ai eu en tout 5 détections donc....Je vais attendre et voir. Je croise les doigts pour ne plus en voir !

L'apparence de mon bureau à changé (les fenêtres étaient arrondies et elles sont rectangulaires maintenant). C'est normal ?

Laurent
0
Réponse 18 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 janv. 2007 à 22:00
Salut Laurent,

D'accord, dis moi s'il te le détecte encore.

Pour le theme XP, c'est cleanup qui l'as supprimé, rien de grave.

Pour récupérer ton style xp :
télécharge ceci et décompresse le
http://pageperso.aol.fr/Balltrap34/luna.zip

ensuite met le dans C:\WINDOWS\Resources\Themes\Luna
et double clic dessus

Ensuite réessaye de remettre le style xp

A+
0
Réponse 19 / 22
Laurent01110
31 janv. 2007 à 19:08
Problème réglé !!!!!!


Merci pour tout

Laurent
0
Réponse 20 / 22
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
31 janv. 2007 à 19:26
Salut

D'accord, de rien

a++
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Virus détecté
Koony -
MisteryBean -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses