Piratage de session MSN
Fermé
phil02
Messages postés
13
Date d'inscription
samedi 23 septembre 2006
Statut
Membre
Dernière intervention
29 juin 2007
-
23 janv. 2007 à 17:18
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 26 janv. 2007 à 20:12
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 26 janv. 2007 à 20:12
A voir également:
- Piratage de session MSN
- Caf piratage - Accueil - Piratage
- Telecharger msn - Télécharger - Messagerie
- Piratage free - Accueil - Piratage
- Piratage paypal - Accueil - Guide piratage
- Piratage sfr - Accueil - Piratage
5 réponses
phil02
Messages postés
13
Date d'inscription
samedi 23 septembre 2006
Statut
Membre
Dernière intervention
29 juin 2007
2
24 janv. 2007 à 16:59
24 janv. 2007 à 16:59
qu'est ce qu'il y a comme anti troyen que je pourrais utiliser pour verifier ?
d'ailleurs ca se fait forcement avec un troyen non ? ou c'est possible par MSN ?
d'ailleurs ca se fait forcement avec un troyen non ? ou c'est possible par MSN ?
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
23 janv. 2007 à 18:42
23 janv. 2007 à 18:42
Salut,
Il se peut que quelqu'un ai pris le controle de ton pc.
A+
Il se peut que quelqu'un ai pris le controle de ton pc.
A+
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
24 janv. 2007 à 20:08
24 janv. 2007 à 20:08
Re,
Ca peut se faire avec un trojan oui.
Mais sinon c'est possible par MSN oui.
On va regarder:
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
Ca peut se faire avec un trojan oui.
Mais sinon c'est possible par MSN oui.
On va regarder:
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
Bon courage
A+
phil02
Messages postés
13
Date d'inscription
samedi 23 septembre 2006
Statut
Membre
Dernière intervention
29 juin 2007
2
26 janv. 2007 à 10:06
26 janv. 2007 à 10:06
ok c bon merci
Logfile of HijackThis v1.99.1
Scan saved at 09:35:23, on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\smss.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Phil\Bureau\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [GRIM BIRD INTERNET DRAW] C:\Documents and Settings\All Users\Application Data\trust knob grim bird\stop media.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Defy bias] C:\DOCUME~1\Phil\APPLIC~1\ITCHPL~1\Mathinterjoy.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe
Logfile of HijackThis v1.99.1
Scan saved at 09:35:23, on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\smss.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Phil\Bureau\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [GRIM BIRD INTERNET DRAW] C:\Documents and Settings\All Users\Application Data\trust knob grim bird\stop media.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Defy bias] C:\DOCUME~1\Phil\APPLIC~1\ITCHPL~1\Mathinterjoy.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ouviewer.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
26 janv. 2007 à 14:36
26 janv. 2007 à 14:36
Salut,
Télécharge LopxpMH sur ton Bureau.
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
A+
Télécharge LopxpMH sur ton Bureau.
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
A+
phil02
Messages postés
13
Date d'inscription
samedi 23 septembre 2006
Statut
Membre
Dernière intervention
29 juin 2007
2
26 janv. 2007 à 19:34
26 janv. 2007 à 19:34
Rapport fait à 19:33:46,12 le 26/01/2007
******************************************
## Répertoires Application Data
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\All Users\Application Data
26/08/2006 16:50 <REP> .
26/08/2006 16:50 <REP> ..
27/08/2006 08:55 <REP> Adobe
10/09/2006 08:17 <REP> Apple Computer
30/09/2006 11:36 <REP> Google
26/08/2006 16:50 <REP> Microsoft
02/09/2006 09:30 <REP> Microsoft Help
01/01/2007 10:44 <REP> trust knob grim bird
19/12/2006 21:41 <REP> Windows Genuine Advantage
26/08/2006 16:50 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Default User\Application Data
26/08/2006 16:50 <REP> .
26/08/2006 16:50 <REP> ..
26/08/2006 16:50 <REP> Microsoft
26/08/2006 16:50 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data
26/08/2006 16:50 <REP> .
26/08/2006 16:50 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\LocalService\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ881ÿ280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\NetworkService\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ881ÿ280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ881ÿ280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Phil\Application Data
26/08/2006 16:59 <REP> .
26/08/2006 16:59 <REP> ..
27/08/2006 08:55 <REP> Adobe
27/08/2006 09:00 <REP> AdobeUM
10/09/2006 08:20 <REP> Apple Computer
08/10/2006 10:25 <REP> ATI
26/08/2006 19:42 <REP> Dev-Cpp
14/09/2006 14:18 <REP> Google
26/08/2006 17:37 <REP> Help
26/08/2006 17:04 <REP> Identities
01/01/2007 10:43 <REP> ITCH PLUS
24/09/2006 14:03 <REP> Kazaa Lite
03/01/2007 21:59 <REP> Lavasoft
28/08/2006 18:06 <REP> Macromedia
26/08/2006 16:59 <REP> Microsoft
02/09/2006 09:33 <REP> Microsoft Help
02/12/2006 15:34 <REP> Microsoft Web Folders
10/09/2006 13:12 <REP> Real
27/08/2006 16:08 <REP> WMTools Downloaded Files
27/08/2006 15:37 7ÿ680 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
26/08/2006 16:59 62 desktop.ini
26/08/2006 17:25 26ÿ112 GDIPFONTCACHEV1.DAT
10/09/2006 14:13 4ÿ271ÿ118 IconCache.db
4 fichier(s) 4ÿ304ÿ972 octets
19 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Phil\Local Settings\Application Data
26/08/2006 17:04 <REP> .
26/08/2006 17:04 <REP> ..
26/08/2006 17:04 <REP> Microsoft
02/09/2006 09:34 <REP> Microsoft Help
0 fichier(s) 0 octets
4 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data
26/08/2006 17:02 <REP> .
26/08/2006 17:02 <REP> ..
26/08/2006 17:02 <REP> Microsoft
26/08/2006 17:02 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
26/08/2006 17:02 <REP> .
26/08/2006 17:02 <REP> ..
26/08/2006 17:25 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS\TASKS
01/01/2007 10:44 264 AA05D8D391CE4C87.job
26/08/2006 16:38 <REP> ..
26/08/2006 16:38 <REP> .
26/08/2006 16:01 378 Planificateur pour la collecte de donn‚es PCHealth.job
26/08/2006 16:01 6 SA.DAT
08/06/2000 16:00 502 D‚marrage du programme de r‚glages.job
08/06/2000 16:00 65 DESKTOP.INI
5 fichier(s) 1ÿ215 octets
2 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
******************************************
## Répertoires de Program files
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Program Files
21/01/2007 14:38 <REP> .
21/01/2007 14:38 <REP> ..
26/08/2006 15:23 <REP> Accessoires
06/01/2007 12:08 <REP> Acro Software
27/08/2006 08:55 <REP> Adobe
07/09/2006 16:12 <REP> Ahead
08/10/2006 10:22 <REP> ATI Technologies
01/10/2006 13:06 <REP> BOINC
11/01/2007 17:28 <REP> CCleaner
19/12/2006 17:09 <REP> Cedelia
26/08/2006 17:29 <REP> C-Media
26/08/2006 16:55 <REP> ComPlus Applications
19/12/2006 21:45 <REP> DirectX
25/12/2006 16:44 <REP> DivX
25/12/2006 16:51 <REP> Eidos
18/11/2006 14:21 <REP> eMule
02/12/2006 15:35 <REP> Fichiers communs
18/11/2006 14:21 <REP> GameSpy Arcade
18/11/2006 14:21 <REP> Google
06/01/2007 12:10 <REP> GPLGS
20/12/2006 21:01 <REP> GSC Game World
27/08/2006 08:26 <REP> InterActual
26/08/2006 15:23 <REP> Internet Explorer
27/08/2006 08:29 <REP> InterVideo
01/01/2007 10:43 <REP> ITCH PLUS
06/01/2007 12:13 <REP> ITEKSOFT
10/12/2006 18:40 <REP> Maris Technologies
26/08/2006 15:23 <REP> Messenger
14/09/2006 12:54 <REP> Micro Application
02/12/2006 15:33 <REP> microsoft frontpage
02/12/2006 15:34 <REP> Microsoft Office
02/12/2006 15:37 <REP> Microsoft Works
02/12/2006 15:26 <REP> Microsoft Works Suite 2000
26/08/2006 16:38 <REP> Movie Maker
26/08/2006 16:54 <REP> MSN
26/08/2006 15:29 <REP> MSN Gaming Zone
26/08/2006 17:53 <REP> MSN Messenger
26/08/2006 15:23 <REP> NetMeeting
26/08/2006 16:38 <REP> Outlook Express
06/01/2007 16:12 <REP> PDF Editeur 2
26/08/2006 15:23 <REP> PLUS!
10/09/2006 08:15 <REP> QuickTime
21/01/2007 14:43 <REP> Serious Sam 2
26/08/2006 15:34 <REP> Uninstall Information
26/08/2006 19:25 <REP> Winamp
26/08/2006 15:23 <REP> Windows Media Player
26/08/2006 16:54 <REP> Windows NT
21/10/2006 15:08 <REP> WinRAR
26/08/2006 16:59 <REP> xerox
27/08/2006 08:55 <REP> Yahoo!
0 fichier(s) 0 octets
50 R‚p(s) 4ÿ614ÿ873ÿ088 octets libres
******************************************
## Popups autorisées
* Internet Explorer
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.redangel.freesurf.fr REG_BINARY
www.alternance.com REG_BINARY
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
startnow.com REG_SZ
www.startnow.com REG_SZ
www2.uvsq.fr REG_BINARY
* Mozilla Firefox (1 autorisé 2 interdit)
******************************************
## Registre
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Defy bias REG_SZ C:\DOCUME~1\Phil\APPLIC~1\ITCHPL~1\Mathinterjoy.exe
******************************************
## Zones de sécurité
* HKCU Domains (4)
* P3P History (5)
******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS
08/06/2000 16:00 520 HTMLHELP.HTM
08/06/2000 16:00 614 LISEZMOI.HTM
26/08/2006 16:08 3ÿ593 upgrade.htm
3 fichier(s) 4ÿ727 octets
0 R‚p(s) 4ÿ614ÿ873ÿ088 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS
08/06/2000 16:00 103ÿ582 BACKGRND.GIF
08/06/2000 16:00 11ÿ306 CLOUD.GIF
08/06/2000 16:00 1ÿ407 HLPBELL.GIF
08/06/2000 16:00 1ÿ492 HLPCD.GIF
08/06/2000 16:00 1ÿ603 HLPGLOBE.GIF
08/06/2000 16:00 1ÿ185 HLPLOGO.GIF
08/06/2000 16:00 1ÿ107 HLPSTEP1.GIF
08/06/2000 16:00 1ÿ154 HLPSTEP2.GIF
08/06/2000 16:00 1ÿ249 HLPSTEP3.GIF
08/06/2000 16:00 4ÿ963 WINLOGO.GIF
10 fichier(s) 129ÿ048 octets
0 R‚p(s) 4ÿ614ÿ873ÿ088 octets libres
*************** Fin du rapport ****************
******************************************
## Répertoires Application Data
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\All Users\Application Data
26/08/2006 16:50 <REP> .
26/08/2006 16:50 <REP> ..
27/08/2006 08:55 <REP> Adobe
10/09/2006 08:17 <REP> Apple Computer
30/09/2006 11:36 <REP> Google
26/08/2006 16:50 <REP> Microsoft
02/09/2006 09:30 <REP> Microsoft Help
01/01/2007 10:44 <REP> trust knob grim bird
19/12/2006 21:41 <REP> Windows Genuine Advantage
26/08/2006 16:50 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Default User\Application Data
26/08/2006 16:50 <REP> .
26/08/2006 16:50 <REP> ..
26/08/2006 16:50 <REP> Microsoft
26/08/2006 16:50 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data
26/08/2006 16:50 <REP> .
26/08/2006 16:50 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\LocalService\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ881ÿ280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\NetworkService\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ881ÿ280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data
26/08/2006 17:03 <REP> .
26/08/2006 17:03 <REP> ..
26/08/2006 17:03 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ881ÿ280 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Phil\Application Data
26/08/2006 16:59 <REP> .
26/08/2006 16:59 <REP> ..
27/08/2006 08:55 <REP> Adobe
27/08/2006 09:00 <REP> AdobeUM
10/09/2006 08:20 <REP> Apple Computer
08/10/2006 10:25 <REP> ATI
26/08/2006 19:42 <REP> Dev-Cpp
14/09/2006 14:18 <REP> Google
26/08/2006 17:37 <REP> Help
26/08/2006 17:04 <REP> Identities
01/01/2007 10:43 <REP> ITCH PLUS
24/09/2006 14:03 <REP> Kazaa Lite
03/01/2007 21:59 <REP> Lavasoft
28/08/2006 18:06 <REP> Macromedia
26/08/2006 16:59 <REP> Microsoft
02/09/2006 09:33 <REP> Microsoft Help
02/12/2006 15:34 <REP> Microsoft Web Folders
10/09/2006 13:12 <REP> Real
27/08/2006 16:08 <REP> WMTools Downloaded Files
27/08/2006 15:37 7ÿ680 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
26/08/2006 16:59 62 desktop.ini
26/08/2006 17:25 26ÿ112 GDIPFONTCACHEV1.DAT
10/09/2006 14:13 4ÿ271ÿ118 IconCache.db
4 fichier(s) 4ÿ304ÿ972 octets
19 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Documents and Settings\Phil\Local Settings\Application Data
26/08/2006 17:04 <REP> .
26/08/2006 17:04 <REP> ..
26/08/2006 17:04 <REP> Microsoft
02/09/2006 09:34 <REP> Microsoft Help
0 fichier(s) 0 octets
4 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data
26/08/2006 17:02 <REP> .
26/08/2006 17:02 <REP> ..
26/08/2006 17:02 <REP> Microsoft
26/08/2006 17:02 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
26/08/2006 17:02 <REP> .
26/08/2006 17:02 <REP> ..
26/08/2006 17:25 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS\TASKS
01/01/2007 10:44 264 AA05D8D391CE4C87.job
26/08/2006 16:38 <REP> ..
26/08/2006 16:38 <REP> .
26/08/2006 16:01 378 Planificateur pour la collecte de donn‚es PCHealth.job
26/08/2006 16:01 6 SA.DAT
08/06/2000 16:00 502 D‚marrage du programme de r‚glages.job
08/06/2000 16:00 65 DESKTOP.INI
5 fichier(s) 1ÿ215 octets
2 R‚p(s) 4ÿ614ÿ877ÿ184 octets libres
******************************************
## Répertoires de Program files
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\Program Files
21/01/2007 14:38 <REP> .
21/01/2007 14:38 <REP> ..
26/08/2006 15:23 <REP> Accessoires
06/01/2007 12:08 <REP> Acro Software
27/08/2006 08:55 <REP> Adobe
07/09/2006 16:12 <REP> Ahead
08/10/2006 10:22 <REP> ATI Technologies
01/10/2006 13:06 <REP> BOINC
11/01/2007 17:28 <REP> CCleaner
19/12/2006 17:09 <REP> Cedelia
26/08/2006 17:29 <REP> C-Media
26/08/2006 16:55 <REP> ComPlus Applications
19/12/2006 21:45 <REP> DirectX
25/12/2006 16:44 <REP> DivX
25/12/2006 16:51 <REP> Eidos
18/11/2006 14:21 <REP> eMule
02/12/2006 15:35 <REP> Fichiers communs
18/11/2006 14:21 <REP> GameSpy Arcade
18/11/2006 14:21 <REP> Google
06/01/2007 12:10 <REP> GPLGS
20/12/2006 21:01 <REP> GSC Game World
27/08/2006 08:26 <REP> InterActual
26/08/2006 15:23 <REP> Internet Explorer
27/08/2006 08:29 <REP> InterVideo
01/01/2007 10:43 <REP> ITCH PLUS
06/01/2007 12:13 <REP> ITEKSOFT
10/12/2006 18:40 <REP> Maris Technologies
26/08/2006 15:23 <REP> Messenger
14/09/2006 12:54 <REP> Micro Application
02/12/2006 15:33 <REP> microsoft frontpage
02/12/2006 15:34 <REP> Microsoft Office
02/12/2006 15:37 <REP> Microsoft Works
02/12/2006 15:26 <REP> Microsoft Works Suite 2000
26/08/2006 16:38 <REP> Movie Maker
26/08/2006 16:54 <REP> MSN
26/08/2006 15:29 <REP> MSN Gaming Zone
26/08/2006 17:53 <REP> MSN Messenger
26/08/2006 15:23 <REP> NetMeeting
26/08/2006 16:38 <REP> Outlook Express
06/01/2007 16:12 <REP> PDF Editeur 2
26/08/2006 15:23 <REP> PLUS!
10/09/2006 08:15 <REP> QuickTime
21/01/2007 14:43 <REP> Serious Sam 2
26/08/2006 15:34 <REP> Uninstall Information
26/08/2006 19:25 <REP> Winamp
26/08/2006 15:23 <REP> Windows Media Player
26/08/2006 16:54 <REP> Windows NT
21/10/2006 15:08 <REP> WinRAR
26/08/2006 16:59 <REP> xerox
27/08/2006 08:55 <REP> Yahoo!
0 fichier(s) 0 octets
50 R‚p(s) 4ÿ614ÿ873ÿ088 octets libres
******************************************
## Popups autorisées
* Internet Explorer
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.redangel.freesurf.fr REG_BINARY
www.alternance.com REG_BINARY
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
startnow.com REG_SZ
www.startnow.com REG_SZ
www2.uvsq.fr REG_BINARY
* Mozilla Firefox (1 autorisé 2 interdit)
******************************************
## Registre
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Defy bias REG_SZ C:\DOCUME~1\Phil\APPLIC~1\ITCHPL~1\Mathinterjoy.exe
******************************************
## Zones de sécurité
* HKCU Domains (4)
* P3P History (5)
******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS
08/06/2000 16:00 520 HTMLHELP.HTM
08/06/2000 16:00 614 LISEZMOI.HTM
26/08/2006 16:08 3ÿ593 upgrade.htm
3 fichier(s) 4ÿ727 octets
0 R‚p(s) 4ÿ614ÿ873ÿ088 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est C014-EF69
R‚pertoire de C:\WINDOWS
08/06/2000 16:00 103ÿ582 BACKGRND.GIF
08/06/2000 16:00 11ÿ306 CLOUD.GIF
08/06/2000 16:00 1ÿ407 HLPBELL.GIF
08/06/2000 16:00 1ÿ492 HLPCD.GIF
08/06/2000 16:00 1ÿ603 HLPGLOBE.GIF
08/06/2000 16:00 1ÿ185 HLPLOGO.GIF
08/06/2000 16:00 1ÿ107 HLPSTEP1.GIF
08/06/2000 16:00 1ÿ154 HLPSTEP2.GIF
08/06/2000 16:00 1ÿ249 HLPSTEP3.GIF
08/06/2000 16:00 4ÿ963 WINLOGO.GIF
10 fichier(s) 129ÿ048 octets
0 R‚p(s) 4ÿ614ÿ873ÿ088 octets libres
*************** Fin du rapport ****************
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
26 janv. 2007 à 20:12
26 janv. 2007 à 20:12
Bonjour,
Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.
1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Déconnecte toi d'Internet et ferme tout les programmes en cours.
Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)
Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O4 - HKLM\..\Run: [GRIM BIRD INTERNET DRAW] C:\Documents and Settings\All Users\Application Data\trust knob grim bird\stop media.exe
O4 - HKCU\..\Run: [Defy bias] C:\DOCUME~1\Phil\APPLIC~1\ITCHPL~1\Mathinterjoy.exe
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime ces dossiers:
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\Documents and Settings\All Users\Application Data\trust knob grim bird
C:\Program Files\ITCH PLUS
C:\Documents and Settings\Phil\Application Data\ITCH PLUS
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok
dans la fenêtre qui va s'ouvrir, copie et colle ceci:
del /a C:\WINDOWS\tasks\AA05D8D391CE4C87.job
et valide en appuyant sur entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important:
:: Supprimer les fichiers temporaires ::
Exécute cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Précises moi ou en sont tes soucis…
A+
Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.
1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm
Déconnecte toi d'Internet et ferme tout les programmes en cours.
Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)
Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O4 - HKLM\..\Run: [GRIM BIRD INTERNET DRAW] C:\Documents and Settings\All Users\Application Data\trust knob grim bird\stop media.exe
O4 - HKCU\..\Run: [Defy bias] C:\DOCUME~1\Phil\APPLIC~1\ITCHPL~1\Mathinterjoy.exe
valider en cliquant sur le bouton [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime ces dossiers:
Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"
S'ils sont présents, supprime:
C:\Documents and Settings\All Users\Application Data\trust knob grim bird
C:\Program Files\ITCH PLUS
C:\Documents and Settings\Phil\Application Data\ITCH PLUS
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok
dans la fenêtre qui va s'ouvrir, copie et colle ceci:
del /a C:\WINDOWS\tasks\AA05D8D391CE4C87.job
et valide en appuyant sur entrée
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ensuite, très important:
:: Supprimer les fichiers temporaires ::
Exécute cleanup40.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre normalement et reposte un Hijackthis sur le poste…
Précises moi ou en sont tes soucis…
A+