Trojan.win32.obfuscated

Résolu
totanovich Messages postés 76 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
bonsoir,
comme quelques personnes je suis embeté par le trojan win32 obfuscated.
j ai lu les pbm identiques mais je n y connais pas grand chose.
pourriez vous m aider?

j ai installé hijackthis v1.99.1 et scanné, le resultat est le suivant:

Logfile of HijackThis v1.99.1
Scan saved at 20:30:53, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Hacker\KAVPF.exe
E:\Program Files\ewido anti-spyware 4.0\guard.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bertrand\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=321search&e=com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=76420697312543738FC7AC1F1CA1CB9B
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmes\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\programmes+jeux\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [playbib] C:\DOCUME~1\Bertrand\APPLIC~1\FORDAM~1\Dvd Idol Burn.exe
O4 - Global Startup: Anti-Hacker.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sandra-bertrand.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Anti-Virus Service (kavsvc) - Kaspersky Labs Ltd. - C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kavsvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

pourriez m aider pour la suite...
merci
Configuration: Windows XP
Internet Explorer 6.0

8 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    tu es infecté par LOP

    * Télécharge LopXPMH sur ton Bureau.
    http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

    * Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
    * Poste le contenu du rapport qui va s'ouvrir.

    0
  2. totanovich Messages postés 76 Statut Membre 6
     
    bonjour ...et merci.
    j'ai fais la manip demadée,je vous joint le resultat:

    Rapport fait à 8:53:15,51 le 30/01/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    17/01/2006 23:38 <REP> .
    17/01/2006 23:38 <REP> ..
    28/12/2006 18:35 <REP> Anti-Virus Personal
    17/02/2006 17:39 <REP> Apple Computer
    28/12/2006 20:30 <REP> Avg7
    17/01/2006 23:16 <REP> CyberLink
    17/01/2006 20:40 <REP> Hewlett-Packard
    12/11/2006 10:22 <REP> Logitech
    26/01/2006 16:31 <REP> Messenger Plus!
    17/01/2006 23:38 <REP> Microsoft
    17/01/2006 23:23 <REP> nView_Profiles
    10/05/2006 18:50 <REP> Skype
    17/01/2006 18:56 <REP> Spybot - Search & Destroy
    28/01/2007 10:43 <REP> TEMP
    20/04/2006 09:47 <REP> Windows Genuine Advantage
    26/11/2006 19:32 <REP> Windows Live Toolbar
    17/01/2006 23:40 62 desktop.ini
    17/01/2006 20:25 1ÿ280 hpzinstall.log
    25/05/2006 17:22 1ÿ763 QTSBandwidthCache
    3 fichier(s) 3ÿ105 octets
    16 R‚p(s) 29ÿ503ÿ188ÿ992 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\Bertrand\Application Data

    17/01/2006 22:57 <REP> .
    17/01/2006 22:57 <REP> ..
    17/01/2006 23:19 <REP> Adobe
    17/02/2006 17:41 <REP> Apple Computer
    29/01/2007 14:01 <REP> BitDownload
    29/01/2007 14:16 <REP> BitRoll
    09/04/2006 09:46 <REP> CyberLink
    29/01/2007 14:00 <REP> Fordamokmulti
    13/07/2006 13:37 <REP> Gearbox Software
    08/10/2006 18:10 <REP> Google
    14/01/2007 17:32 <REP> Hemera
    17/01/2006 22:57 <REP> Identities
    17/01/2006 23:19 <REP> InterTrust
    17/01/2006 18:56 <REP> Lavasoft
    18/01/2006 17:45 <REP> Macromedia
    25/05/2006 17:35 <REP> Media Player Classic
    14/01/2007 17:41 <REP> Micro Application
    17/01/2006 22:57 <REP> Microsoft
    20/07/2006 12:49 <REP> Mozilla
    24/01/2006 06:40 <REP> Shareaza
    27/01/2006 21:49 <REP> Skype
    28/12/2006 18:35 <REP> SpamTest
    03/07/2006 20:57 <REP> Sun
    06/11/2006 17:21 <REP> teamspeak2
    25/02/2006 16:16 <REP> Template
    17/01/2006 22:57 62 desktop.ini
    27/02/2006 22:19 27ÿ720 GDIPFONTCACHEV1.DAT
    27/07/2006 10:04 7ÿ213 GdiplusUpgrade_MSIApproach_Wrapper.log
    27/01/2007 19:55 1ÿ731 HPCOM_48BitScanUpdate.log
    4 fichier(s) 36ÿ726 octets
    25 R‚p(s) 29ÿ503ÿ188ÿ992 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\Bertrand\Local Settings\Application Data

    17/01/2006 22:57 <REP> .
    17/01/2006 22:57 <REP> ..
    15/09/2006 09:24 <REP> Ahead
    25/05/2006 17:22 <REP> Apple Computer
    17/01/2006 22:11 <REP> ApplicationHistory
    17/01/2006 22:00 <REP> Google
    17/01/2006 22:11 <REP> HP
    28/01/2006 11:22 <REP> Identities
    17/01/2006 22:11 <REP> IsolatedStorage
    17/01/2006 22:57 <REP> Microsoft
    20/07/2006 12:49 <REP> Mozilla
    24/01/2006 06:40 <REP> Shareaza
    12/02/2006 11:06 <REP> Ubisoft
    25/02/2006 16:09 <REP> WMTools Downloaded Files
    09/05/2006 10:07 30ÿ208 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    17/01/2006 22:11 131 fusioncache.dat
    17/01/2006 22:11 87ÿ840 GDIPFONTCACHEV1.DAT
    3 fichier(s) 118ÿ179 octets
    14 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    17/01/2006 23:38 <REP> .
    17/01/2006 23:38 <REP> ..
    17/01/2006 23:38 <REP> Microsoft
    17/01/2006 23:40 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    17/01/2006 23:40 <REP> .
    17/01/2006 23:40 <REP> ..
    17/01/2006 22:52 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    17/01/2006 22:56 <REP> .
    17/01/2006 22:56 <REP> ..
    17/01/2006 22:56 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    17/01/2006 22:56 <REP> .
    17/01/2006 22:56 <REP> ..
    17/01/2006 22:56 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    17/01/2006 22:55 <REP> .
    17/01/2006 22:55 <REP> ..
    17/01/2006 22:55 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    17/01/2006 22:55 <REP> .
    17/01/2006 22:55 <REP> ..
    17/01/2006 22:55 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    17/01/2006 22:54 <REP> .
    17/01/2006 22:54 <REP> ..
    17/01/2006 22:54 <REP> Microsoft
    17/01/2006 22:54 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    17/01/2006 22:54 <REP> .
    17/01/2006 22:54 <REP> ..
    17/01/2006 22:54 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\WINDOWS\Tasks

    17/01/2006 22:56 6 SA.DAT
    17/01/2006 22:50 65 desktop.ini
    17/01/2006 22:50 <REP> ..
    17/01/2006 22:50 <REP> .
    2 fichier(s) 71 octets
    2 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres

    ******************************************
    ## Répertoires de Program files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\Program Files

    29/01/2007 14:00 <REP> .
    29/01/2007 14:00 <REP> ..
    15/09/2006 10:27 <REP> Adobe
    17/01/2006 23:17 <REP> Ahead
    17/01/2006 23:11 <REP> AMD
    29/01/2006 10:18 <REP> ASUS
    15/09/2006 10:22 <REP> Common Files
    17/01/2006 22:48 <REP> ComPlus Applications
    17/01/2006 23:16 <REP> CyberLink
    17/01/2006 23:16 <REP> CyberLink DVD Solution
    31/12/2006 10:56 <REP> Fichiers communs
    29/01/2007 14:00 <REP> Fordamokmulti
    18/01/2006 18:29 <REP> GameSpy Arcade
    08/10/2006 18:08 <REP> Google
    28/01/2006 17:04 <REP> Grisoft
    17/01/2006 20:40 <REP> Hewlett-Packard
    27/07/2006 10:05 <REP> HP
    09/12/2006 18:53 <REP> Internet Explorer
    17/01/2006 18:56 <REP> Lavasoft
    12/11/2006 10:22 <REP> Logitech
    17/01/2006 23:22 <REP> MadOnion.com
    17/01/2006 20:11 <REP> Messenger
    28/01/2006 17:04 <REP> MessengerPlus! 3(2)
    14/01/2007 17:31 <REP> Micro Application
    17/01/2006 22:52 <REP> microsoft frontpage
    31/12/2006 10:56 <REP> Microsoft Office
    31/12/2006 10:53 <REP> Microsoft Visual Studio
    31/12/2006 10:55 <REP> Microsoft Works
    31/12/2006 10:46 <REP> Microsoft.NET
    17/01/2006 22:49 <REP> Movie Maker
    21/07/2006 06:06 <REP> Mozilla Firefox
    17/01/2006 22:47 <REP> MSN
    17/01/2006 22:48 <REP> MSN Gaming Zone
    24/10/2006 13:31 <REP> MSN Messenger
    12/11/2006 10:30 <REP> MSXML 4.0
    09/12/2006 19:39 <REP> Multimedia Card Reader
    17/01/2006 22:50 <REP> NetMeeting
    17/01/2006 22:48 <REP> Online Services
    09/12/2006 18:53 <REP> Outlook Express
    27/07/2006 10:05 <REP> Overland
    29/01/2006 10:13 <REP> Realtek AC97
    17/01/2006 22:51 <REP> Services en ligne
    06/11/2006 10:25 <REP> Softwin
    17/01/2006 19:06 <REP> Spybot - Search & Destroy
    31/03/2005 22:17 40ÿ960 Uninstall_CDS.exe
    15/01/2007 12:57 <REP> Windows Live Toolbar
    17/02/2006 12:12 <REP> Windows Media Player
    17/01/2006 22:47 <REP> Windows NT
    18/01/2006 11:36 <REP> WinRAR
    17/01/2006 22:52 <REP> xerox
    1 fichier(s) 40ÿ960 octets
    49 R‚p(s) 29ÿ503ÿ180ÿ800 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    netsearchsoft.com REG_SZ
    www.netsearchsoft.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\BERTRAND\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\ZGI1HO09.DEFAULT\HOSTPERM.1

    ******************************************
    ## Registre

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    KAVPersonal50 REG_SZ "C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kav.exe" /minimize

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    playbib REG_SZ C:\DOCUME~1\Bertrand\APPLIC~1\FORDAM~1\Dvd Idol Burn.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\WINDOWS

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 74CB-7578

    R‚pertoire de C:\WINDOWS

    *************** Fin du rapport ****************

    voila ...en attente de la suite de la manip.
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    je regarde ton rapport réponse dans un moment
    0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    Note comment démarrer en mode sans échec
    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

    1* Télécharge : - CCleaner
    http://www.filehippo.com/download_ccleaner.html

    ("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    * Crée un nouveau document texte :

    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

    Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "playbib"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "www.netsearchsoft.com REG_SZ"=-
    "netsearchsoft.com REG_SZ"=-


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

    / désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

    Fordamokmulti

    / Assure toi d'avoir accès aux dossiers/fichiers cachés :

    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    / recherche et supprime ces dossiers ou fichiers, si tu les trouves :

    C:\Documents and Settings\Bertrand\Application Data\ Fordamokmulti
    C:\Program Files\ Fordamokmulti

    / double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    / Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. totanovich Messages postés 76 Statut Membre 6
     
    bonjour et merci
    niveau manip ca a ete.

    ci joint le resultat demandé:

    Logfile of HijackThis v1.99.1
    Scan saved at 13:17:56, on 31/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\Program Files\Multimedia Card Reader\shwicon2k.exe
    C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
    C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Hacker\KAVPF.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    E:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Bertrand\Bureau\Nouveau dossier\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=321search&e=com
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=76420697312543738FC7AC1F1CA1CB9B
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kav.exe" /minimize
    O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmes\qttask.exe" -atboottime
    O4 - HKLM\..\Run: webwiz "E:\PROGRA~2\_WEBWI~1\WEBWIZ~1.EXE"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\programmes+jeux\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Anti-Hacker.lnk = ?
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sandra-bertrand.spaces.msn.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: Anti-Virus Service (kavsvc) - Kaspersky Labs Ltd. - C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kavsvc.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    merci .en attente.
    0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    où en es tu de tes problèmes initiaux ?
    0
  8. totanovich Messages postés 76 Statut Membre 6
     
    bonjour,

    merci de l aide apportée, je n'ai plus de soucis depuis.

    bonne journée
    0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    parfait,

    mais ton topic en résolu stp. Merci
    0