(Trojan) Infectecté par win32.OBFUSCATED.BL Résolu/Fermé

Question

Bonjour a tous !!!

je suis infecté et rien a faire j'ai passé spybot,a-squared,avast et avg anti spyware 7.5

je vous est fait un rapport Hijackthis voir ci'dessous:

Logfile of HijackThis v1.99.1
Scan saved at 09:28:03, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Dudez\ProtoWall\ProtoWall.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1	oolbar.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll (file missing)
O3 - Toolbar: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file)
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Okay Enc Blah Bird] C:\Documents and Settings\All Users\Application Data\Roadobjokayenc\kindflag.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ProtoWall] C:\Program Files\Dudez\ProtoWall\ProtoWall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gpl Regs] C:\DOCUME~1\ADMINI~1\APPLIC~1\BIASIT~1\holddrive.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

ps: je n'est pas acces au mode sans echec

Merci pour votre aide !!!

Utilisateur anonyme · Answer

Salut

Télécharge lopxp :
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip 

dézippe-le sur ton bureau puis double-clic sur le fichier "lopxpMH.bat"
quand il a terminé, un rapport s'ouvre : fait un copier-coller du rapport puis mets le ici

jamesfunky · Answer

voici le rapport : Rapport fait à 10:12:14,40 le 29/01/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 25/04/2006 15:52 . 25/04/2006 15:52 .. 26/04/2006 17:24 .ABC 25/10/2006 17:35 .jprintcover 01/05/2006 09:20 Adobe 01/05/2006 09:20 AdobeUM 22/05/2006 19:16 Ahead 29/04/2006 17:38 albumart 28/01/2007 17:43 Bias Itch Bike 28/01/2007 17:43 BitDownload 26/04/2006 17:03 BitTorrent 16/10/2006 14:58 Help 25/04/2006 16:03 Identities 24/05/2006 16:38 Lavasoft 22/06/2006 11:25 LimeWire 25/04/2006 17:05 Macromedia 26/04/2006 16:52 Media Player Classic 25/04/2006 15:52 Microsoft 30/04/2006 18:52 Mozilla 16/05/2006 21:18 PC Tools 15/08/2006 11:13 Real 02/05/2006 18:19 Sun 18/05/2006 07:53 Talkback 16/06/2006 17:03 XnView 25/04/2006 15:52 62 desktop.ini 14/10/2006 13:44 45ÿ024 GDIPFONTCACHEV1.DAT 2 fichier(s) 45ÿ086 octets 24 R‚p(s) 45ÿ991ÿ792ÿ640 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 25/04/2006 15:52 . 25/04/2006 15:52 .. 01/05/2006 09:20 Adobe 30/04/2006 11:47 Ahead 05/06/2006 08:14 Google 16/10/2006 14:58 Help 25/04/2006 17:05 Identities 25/04/2006 15:52 Microsoft 30/04/2006 18:52 Mozilla 22/05/2006 14:26 Panda Software 26/04/2006 13:28 222ÿ720 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 25/04/2006 16:28 45ÿ024 GDIPFONTCACHEV1.DAT 15/12/2006 22:23 5ÿ332ÿ534 IconCache.db 3 fichier(s) 5ÿ600ÿ278 octets 10 R‚p(s) 45ÿ991ÿ792ÿ640 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\All Users\Application Data 25/04/2006 17:35 . 25/04/2006 17:35 .. 12/01/2007 15:15 Adobe 28/01/2007 22:35 AntiVir PersonalEdition Classic 25/04/2006 16:38 DVD Shrink 26/01/2007 20:04 Kaspersky Anti-Virus Personal 25/04/2006 17:35 Microsoft 28/01/2007 17:43 Roadobjokayenc 25/04/2006 18:07 Spybot - Search & Destroy 30/05/2006 11:52 Windows Genuine Advantage 24/01/2007 14:05 41 .zreglib 25/04/2006 17:37 62 desktop.ini 2 fichier(s) 103 octets 10 R‚p(s) 45ÿ991ÿ792ÿ640 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\Default User\Application Data 25/04/2006 17:35 . 25/04/2006 17:35 .. 25/04/2006 17:35 Microsoft 25/04/2006 17:37 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 45ÿ991ÿ792ÿ640 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 25/04/2006 17:37 . 25/04/2006 17:37 .. 25/04/2006 15:47 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\LocalService\Application Data 25/04/2006 15:51 . 25/04/2006 15:51 .. 25/04/2006 15:51 Microsoft 23/07/2006 12:37 Mozilla 23/07/2006 12:37 Talkback 0 fichier(s) 0 octets 5 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 25/04/2006 15:51 . 25/04/2006 15:51 .. 25/04/2006 15:51 Microsoft 23/07/2006 12:37 Mozilla 24/05/2006 17:07 43ÿ480 GDIPFONTCACHEV1.DAT 1 fichier(s) 43ÿ480 octets 4 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 25/04/2006 15:51 . 25/04/2006 15:51 .. 25/04/2006 15:51 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 25/04/2006 15:51 . 25/04/2006 15:51 .. 25/04/2006 15:51 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 25/04/2006 15:50 . 25/04/2006 15:50 .. 25/04/2006 15:50 Microsoft 25/04/2006 15:50 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 25/04/2006 15:50 . 25/04/2006 15:50 .. 25/04/2006 15:50 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\WINDOWS\Tasks 28/01/2007 17:43 290 A7E446DE913BFBAE.job 25/04/2006 15:51 6 SA.DAT 25/04/2006 15:45 65 desktop.ini 25/04/2006 15:45 .. 25/04/2006 15:45 . 3 fichier(s) 361 octets 2 R‚p(s) 45ÿ991ÿ788ÿ544 octets libres ****************************************** ## Répertoires de Program files Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\Program Files 29/01/2007 08:01 . 29/01/2007 08:01 .. 13/01/2007 13:51 7-Zip 01/05/2006 09:17 Adobe 25/01/2007 19:32 Agnitum 25/04/2006 15:52 Ahead 29/01/2007 08:01 Alwil Software 29/01/2007 09:34 a-squared Anti-Malware 25/04/2006 16:31 ATI Technologies 27/01/2007 10:42 Bluetack 26/01/2007 10:59 CCleaner 16/10/2006 14:58 CDisplay 25/04/2006 15:43 ComPlus Applications 02/01/2007 17:42 Dial-Messenger 25/04/2006 15:55 directx 27/01/2007 10:36 Dudez 25/04/2006 16:38 DVD Shrink 28/01/2007 20:47 eMule 12/01/2007 15:15 Fichiers communs 22/01/2007 20:54 FlashFXP 08/06/2006 20:11 FlashXp v2.2 full with serial 05/06/2006 08:14 Google 26/01/2007 15:18 Grisoft 23/07/2006 12:12 Hewlett-Packard 23/05/2006 19:19 HP 28/01/2007 14:11 Internet Explorer 26/01/2007 14:12 Java 25/10/2006 17:52 JPrintCover 05/11/2006 11:42 K! 26/01/2007 20:04 Kaspersky Lab 11/11/2006 10:20 Macrogaming 25/04/2006 16:50 Micro Application 25/04/2006 15:48 microsoft frontpage 25/04/2006 16:53 Microsoft Office 25/04/2006 15:44 Movie Maker 23/01/2007 08:10 Mozilla Firefox 25/04/2006 15:43 MSN Gaming Zone 26/04/2006 22:25 MSN Messenger 25/04/2006 15:45 NetMeeting 16/12/2006 12:43 Outlook Express 05/11/2006 11:45 Pinnacle 20/12/2006 11:00 Pochette Express 2 15/08/2006 11:14 Real 23/01/2007 22:22 SAGEM 03/05/2006 18:00 Satsuki Decoder Pack 25/04/2006 15:46 Services en ligne 24/01/2007 14:04 SlySoft 26/01/2007 21:41 Soft4Ever 26/01/2007 10:35 Spybot - Search & Destroy 25/05/2006 15:27 SuperCopier2 25/10/2006 17:41 UnderCoverXP 26/01/2007 15:42 Wanadoo 23/01/2007 21:31 Wanadoo Messager 14/08/2006 20:44 Winamp 28/05/2006 11:04 Windows Media Player 25/04/2006 15:43 Windows NT 30/10/2006 18:28 WinRAR 24/01/2007 16:05 wxRipper-1.2 25/04/2006 15:48 xerox 16/06/2006 12:56 xISOv115 16/06/2006 17:07 XnView 0 fichier(s) 0 octets 61 R‚p(s) 45ÿ991ÿ784ÿ448 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow netsearchsoft.com REG_SZ www.netsearchsoft.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\FUMGSYHE.DEFAULT\HOSTPERM.1 host cookie 2 popuptraffic.com host popup 1 www.shichibukai-team.com host cookie 2 popupsponsor.com host cookie 2 paypopup.com host popup 1 www.algeriemusique.com host popup 1 www.djrecording.com host popup 1 www.mondemul.net host popup 1 www.abdellahdaoudi.com ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Okay Enc Blah Bird REG_SZ C:\Documents and Settings\All Users\Application Data\Roadobjokayenc\kindflag.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Gpl Regs REG_SZ C:\DOCUME~1\ADMINI~1\APPLIC~1\BIASIT~1\holddrive.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\WINDOWS Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 7427-6E0D R‚pertoire de C:\WINDOWS 06/08/2006 19:51 72 bg_bg.gif 06/08/2006 19:50 4ÿ970 big_red_x.gif 06/08/2006 19:50 867 buy_now.gif 06/08/2006 19:50 2ÿ359 click_for_free_scan.gif 06/08/2006 19:50 64 close_ico.gif 06/08/2006 19:50 1ÿ230 download.gif 06/08/2006 19:50 3ÿ968 download_product.gif 06/08/2006 19:50 15ÿ618 free_scan_red_btn.gif 06/08/2006 19:50 3ÿ877 icon_warning_big.gif 06/08/2006 19:51 6ÿ147 infected.gif 06/08/2006 19:51 46 infected_top_bg.gif 06/08/2006 19:51 3ÿ390 logo.gif 06/08/2006 19:51 53 navibar_bg.gif 06/08/2006 19:51 150 navibar_corner_left.gif 06/08/2006 19:51 151 navibar_corner_right.gif 06/08/2006 19:51 12ÿ192 product_box.gif 06/08/2006 19:51 1ÿ472 red_warning_ico.gif 06/08/2006 19:51 1ÿ743 remove_spyware_header.gif 06/08/2006 19:51 1ÿ743 safe_and_trusted.gif 06/08/2006 19:51 3ÿ031 spyware_detected.gif 27/07/2006 16:19 49 transp.gif 06/08/2006 19:51 1ÿ791 win_logo.gif 06/08/2006 19:51 1ÿ014 yellow_warning_ico.gif 23 fichier(s) 65ÿ997 octets 0 R‚p(s) 45ÿ991ÿ776ÿ256 octets libres *************** Fin du rapport ****************

Utilisateur anonyme · Answer

Fait ceci :

Pour afficher tous les dossiers et fichiers cachés :

Clique sur "démarrer", "panneau de configuration", "outils" ,"option des dossiers", "affichage"
"
Coche: 
¤ afficher les fichiers et dossiers cachés
- Clique sur "appliquer" puis "ok"
----------------------------------------------------

Clic sur  C:\Documents and Settings\All Users\Application Data et supprime :

AntiVir PersonalEdition Classic 
Roadobjokayenc


- C:\Documents and Settings\Administrateur\Local Settings\Application Data et supprime :

Panda Software


- C:\Documents and Settings\Administrateur\Application Data et supprime : 

Bias Itch Bike


¤ Télécharge et installe AVG anti-spyware :
Tu fais un scan complet de ton système, dès qu'il a fini.
Si il te trouve des espions, supprime les. Enregistre le rapport et colle le ici stp 

AVG anti-spyware : reste gratuit après la période d'essai en français
---->http://www.infos-du-net.com/telecharger/Anti-Spyware-AVG,0301-7063.html

Si tu as besoin d'aide avec Ewido(devenu AVG-antispyware) regarde ce tutoriel:
--> http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Même chose avec celui-ci :

Ad-Aware SE Personal : gratuit en anglais disponible en français voir tutoriel
----> http://www.infos-du-net.com/telecharger/Ad-aware-Personal,0301-244.html

Si tu as besoin d'aide pour Ad-aware regarde ce tutoriel :
--> https://kerio.probb.fr/t207-tutoriel-pour-ad-aware-anti-spyware

A++

jamesfunky · Answer

voici le rapport de AVG :

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	11:45:26 29/01/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

jamesfunky · Answer

et voici le rapport de Ad-Aware SE Personal :

ArchiveData(auto-quarantine- 2007-01-29 11-58-18.bckp)
Referencefile : SE1R148 29.01.2007
======================================================

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=IECache Entry : Cookie:administrateur@msnportal.112.2o7.net/
obj[1]=IECache Entry : Cookie:administrateur@www.smartadserver.com/
obj[2]=IECache Entry : Cookie:administrateur@247realmedia.com/
obj[3]=IECache Entry : Cookie:administrateur@advertising.com/
obj[4]=IECache Entry : Cookie:administrateur@bluestreak.com/
obj[5]=IECache Entry : Cookie:administrateur@tradedoubler.com/
obj[6]=IECache Entry : Cookie:administrateur@weborama.fr/

Utilisateur anonyme · Answer

Très bien.

Clic sur démarrer, rechercher, cherche et supprime ce processus :

- smss.exe  < ne supprime pas celui présent dans le dossier /system32

**Si un fichier/dossier persiste lors de la suppression fait ceci:
- Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu.. 
Puis va supprimer les fichiers/dossiers, vide ta corbeille et redémarre ton PC normalement.


¤ Fait ce nettoyage:  à faire réguliérement 

¤ Télécharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)
---> http://www.infos-du-net.com/telecharger/CCleaner,0301-1039.html

- Dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, clic sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites, tu pourra les supprimer si ton ordinateur n'a plus de problémes.

- Relance Ccleaner, vas dans l'onglet "nettoyeur" présent sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"
 
Si tu as besoin d'aide avec Ccleaner, regarde ce tutoriel :
http://www.tutopat.com/viewtopic.php?t=305


¤ Puis remet un rapport hijackthis stp

jamesfunky · Answer

quand je fais une recherche de smss.exe il trouve juste le dossier/systeme32

et comme je l'ai marquer plus haut j'ai pas acces au mode sans echec.
T'inquiete ,je fait bien f5 et quand j'arrive aux choix je fais entrer sur mode sans echec il me renvois sur la page. 
Il ne veux pas du mode sans echec avec reseau.
Il veut juste le mode normale.

Que dois je faire, je passe a CCleaner quand meme et je te met le rapport de hijackthis

jamesfunky · Answer

Que dois je faire?

Merci !!!

jamesfunky · Answer

voici le rapport hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:29:37, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Dudez\ProtoWall\ProtoWall.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1	oolbar.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll (file missing)
O3 - Toolbar: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file)
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Okay Enc Blah Bird] C:\Documents and Settings\All Users\Application Data\Roadobjokayenc\kindflag.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKCU\..\Run: [ProtoWall] C:\Program Files\Dudez\ProtoWall\ProtoWall.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Utilisateur anonyme · Answer

Ola !

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour  faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

https://www.bitdefender.com/toolbox/

jamesfunky · Answer

re:

je viend de terminer le scan et il a rien trouver c'est une bonne nouvelle

Vois tu des lignes a supp sur le rapport ci -dessus?

Utilisateur anonyme · Answer

Ok, donc :

¤ Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

R3 - URLSearchHook: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file)
O3 - Toolbar: (no name) - {f5c93451-2609-4723-a053-5c19516be1a8} - (no file) 
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab 
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Voilà chef :-)

jamesfunky · Answer

Merci boulepate !!!

tu as été tres efficace je t'en félicite ...
Quel savoir faire,a croire que le concepteur de ces trojans viennent de toi !!! lol

Merci encore ,tu de faire un heureux !

Utilisateur anonyme · Answer

De rien ;-)
Est oui ils viennent de moi héhé :P


Encore une petite chose, tu peux arrêter ce service il est inutile pour ta connexion, ça fera un processus en moins au démarrage 

¤ Clic sur "démarrer", "exécuter", tape: services.msc 
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

- France Telecom Routing Table Service


Puis nettoyes car malheurement on ne voit pas tout, mais tu as des images qui me semble venir de spyware ;-)

¤ Clic sur démarrer, rechercher, da,s la premiére barre vide enter ceci :   .gif 
Lance la recherche et il devrait te trouver des images avec des noms aléatoires comm ceci :
(infected.gif,  infected_top_bg.gif, ..) 
Supprime les, ça risque rien pour le système, et ça n'appartient pas au système 

N'hésite pas en cas de soucis 

A++

jamesfunky · Answer

voila c'est fait! et tres soulager

j'ai une question au niveau de la securiter faut il ouvrir un autre sujet de conversation?

PS/ j'ai prix le temps de cocher probleme resolu lol

Utilisateur anonyme · Answer

Tu peux continuer ici pas de soucis ;-)

jamesfunky · Answer

ok j'ai kapersky antivirus + looknstop parfeu + protowall avec blocklist manager

Faut il avoir un bouclier  spyware ou je suis asser securiser?

Utilisateur anonyme · Answer

Si tu fais attention et si tu es sous un compte limité pas besoin d'avoir en plus ce genre de "bouclier" ;-)
Le cas échéant il serait préférable oui :-)

jamesfunky · Answer

ok, merci a toi, je repasserais car tu es sympas d'une part et tu es efficace

Merci encore, et pour feter ca, je t'embrasse avec ma barbe de trois jours mdrr
C'est ca les vacances !!!

(Trojan) Infectecté par win32.OBFUSCATED.BL

19 réponses

Discussions similaires