Sujet Précédent Sujet Suivant

Trojan.win32.obfuscated

Résolu/Fermé
totanovich Messages postés 69 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 1 juillet 2022 - 29 janv. 2007 à 20:38
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 2 févr. 2007 à 11:35
bonsoir,
comme quelques personnes je suis embeté par le trojan win32 obfuscated.
j ai lu les pbm identiques mais je n y connais pas grand chose.
pourriez vous m aider?

j ai installé hijackthis v1.99.1 et scanné, le resultat est le suivant:

Logfile of HijackThis v1.99.1
Scan saved at 20:30:53, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Hacker\KAVPF.exe
E:\Program Files\ewido anti-spyware 4.0\guard.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bertrand\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=321search&e=com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=76420697312543738FC7AC1F1CA1CB9B
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmes\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\programmes+jeux\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [playbib] C:\DOCUME~1\Bertrand\APPLIC~1\FORDAM~1\Dvd Idol Burn.exe
O4 - Global Startup: Anti-Hacker.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sandra-bertrand.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Anti-Virus Service (kavsvc) - Kaspersky Labs Ltd. - C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kavsvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


pourriez m aider pour la suite...
merci

8 réponses

Réponse 1 / 8
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
29 janv. 2007 à 21:24
Bonsoir,

tu es infecté par LOP

* Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

0
Réponse 2 / 8
totanovich Messages postés 69 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 1 juillet 2022 6
30 janv. 2007 à 08:57
bonjour ...et merci.
j'ai fais la manip demadée,je vous joint le resultat:

Rapport fait à 8:53:15,51 le 30/01/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\All Users\Application Data

17/01/2006 23:38 <REP> .
17/01/2006 23:38 <REP> ..
28/12/2006 18:35 <REP> Anti-Virus Personal
17/02/2006 17:39 <REP> Apple Computer
28/12/2006 20:30 <REP> Avg7
17/01/2006 23:16 <REP> CyberLink
17/01/2006 20:40 <REP> Hewlett-Packard
12/11/2006 10:22 <REP> Logitech
26/01/2006 16:31 <REP> Messenger Plus!
17/01/2006 23:38 <REP> Microsoft
17/01/2006 23:23 <REP> nView_Profiles
10/05/2006 18:50 <REP> Skype
17/01/2006 18:56 <REP> Spybot - Search & Destroy
28/01/2007 10:43 <REP> TEMP
20/04/2006 09:47 <REP> Windows Genuine Advantage
26/11/2006 19:32 <REP> Windows Live Toolbar
17/01/2006 23:40 62 desktop.ini
17/01/2006 20:25 1ÿ280 hpzinstall.log
25/05/2006 17:22 1ÿ763 QTSBandwidthCache
3 fichier(s) 3ÿ105 octets
16 R‚p(s) 29ÿ503ÿ188ÿ992 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\Bertrand\Application Data

17/01/2006 22:57 <REP> .
17/01/2006 22:57 <REP> ..
17/01/2006 23:19 <REP> Adobe
17/02/2006 17:41 <REP> Apple Computer
29/01/2007 14:01 <REP> BitDownload
29/01/2007 14:16 <REP> BitRoll
09/04/2006 09:46 <REP> CyberLink
29/01/2007 14:00 <REP> Fordamokmulti
13/07/2006 13:37 <REP> Gearbox Software
08/10/2006 18:10 <REP> Google
14/01/2007 17:32 <REP> Hemera
17/01/2006 22:57 <REP> Identities
17/01/2006 23:19 <REP> InterTrust
17/01/2006 18:56 <REP> Lavasoft
18/01/2006 17:45 <REP> Macromedia
25/05/2006 17:35 <REP> Media Player Classic
14/01/2007 17:41 <REP> Micro Application
17/01/2006 22:57 <REP> Microsoft
20/07/2006 12:49 <REP> Mozilla
24/01/2006 06:40 <REP> Shareaza
27/01/2006 21:49 <REP> Skype
28/12/2006 18:35 <REP> SpamTest
03/07/2006 20:57 <REP> Sun
06/11/2006 17:21 <REP> teamspeak2
25/02/2006 16:16 <REP> Template
17/01/2006 22:57 62 desktop.ini
27/02/2006 22:19 27ÿ720 GDIPFONTCACHEV1.DAT
27/07/2006 10:04 7ÿ213 GdiplusUpgrade_MSIApproach_Wrapper.log
27/01/2007 19:55 1ÿ731 HPCOM_48BitScanUpdate.log
4 fichier(s) 36ÿ726 octets
25 R‚p(s) 29ÿ503ÿ188ÿ992 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\Bertrand\Local Settings\Application Data

17/01/2006 22:57 <REP> .
17/01/2006 22:57 <REP> ..
15/09/2006 09:24 <REP> Ahead
25/05/2006 17:22 <REP> Apple Computer
17/01/2006 22:11 <REP> ApplicationHistory
17/01/2006 22:00 <REP> Google
17/01/2006 22:11 <REP> HP
28/01/2006 11:22 <REP> Identities
17/01/2006 22:11 <REP> IsolatedStorage
17/01/2006 22:57 <REP> Microsoft
20/07/2006 12:49 <REP> Mozilla
24/01/2006 06:40 <REP> Shareaza
12/02/2006 11:06 <REP> Ubisoft
25/02/2006 16:09 <REP> WMTools Downloaded Files
09/05/2006 10:07 30ÿ208 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
17/01/2006 22:11 131 fusioncache.dat
17/01/2006 22:11 87ÿ840 GDIPFONTCACHEV1.DAT
3 fichier(s) 118ÿ179 octets
14 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\Default User\Application Data

17/01/2006 23:38 <REP> .
17/01/2006 23:38 <REP> ..
17/01/2006 23:38 <REP> Microsoft
17/01/2006 23:40 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

17/01/2006 23:40 <REP> .
17/01/2006 23:40 <REP> ..
17/01/2006 22:52 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

17/01/2006 22:56 <REP> .
17/01/2006 22:56 <REP> ..
17/01/2006 22:56 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

17/01/2006 22:56 <REP> .
17/01/2006 22:56 <REP> ..
17/01/2006 22:56 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

17/01/2006 22:55 <REP> .
17/01/2006 22:55 <REP> ..
17/01/2006 22:55 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

17/01/2006 22:55 <REP> .
17/01/2006 22:55 <REP> ..
17/01/2006 22:55 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

17/01/2006 22:54 <REP> .
17/01/2006 22:54 <REP> ..
17/01/2006 22:54 <REP> Microsoft
17/01/2006 22:54 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

17/01/2006 22:54 <REP> .
17/01/2006 22:54 <REP> ..
17/01/2006 22:54 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\WINDOWS\Tasks

17/01/2006 22:56 6 SA.DAT
17/01/2006 22:50 65 desktop.ini
17/01/2006 22:50 <REP> ..
17/01/2006 22:50 <REP> .
2 fichier(s) 71 octets
2 R‚p(s) 29ÿ503ÿ184ÿ896 octets libres

******************************************
## Répertoires de Program files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\Program Files

29/01/2007 14:00 <REP> .
29/01/2007 14:00 <REP> ..
15/09/2006 10:27 <REP> Adobe
17/01/2006 23:17 <REP> Ahead
17/01/2006 23:11 <REP> AMD
29/01/2006 10:18 <REP> ASUS
15/09/2006 10:22 <REP> Common Files
17/01/2006 22:48 <REP> ComPlus Applications
17/01/2006 23:16 <REP> CyberLink
17/01/2006 23:16 <REP> CyberLink DVD Solution
31/12/2006 10:56 <REP> Fichiers communs
29/01/2007 14:00 <REP> Fordamokmulti
18/01/2006 18:29 <REP> GameSpy Arcade
08/10/2006 18:08 <REP> Google
28/01/2006 17:04 <REP> Grisoft
17/01/2006 20:40 <REP> Hewlett-Packard
27/07/2006 10:05 <REP> HP
09/12/2006 18:53 <REP> Internet Explorer
17/01/2006 18:56 <REP> Lavasoft
12/11/2006 10:22 <REP> Logitech
17/01/2006 23:22 <REP> MadOnion.com
17/01/2006 20:11 <REP> Messenger
28/01/2006 17:04 <REP> MessengerPlus! 3(2)
14/01/2007 17:31 <REP> Micro Application
17/01/2006 22:52 <REP> microsoft frontpage
31/12/2006 10:56 <REP> Microsoft Office
31/12/2006 10:53 <REP> Microsoft Visual Studio
31/12/2006 10:55 <REP> Microsoft Works
31/12/2006 10:46 <REP> Microsoft.NET
17/01/2006 22:49 <REP> Movie Maker
21/07/2006 06:06 <REP> Mozilla Firefox
17/01/2006 22:47 <REP> MSN
17/01/2006 22:48 <REP> MSN Gaming Zone
24/10/2006 13:31 <REP> MSN Messenger
12/11/2006 10:30 <REP> MSXML 4.0
09/12/2006 19:39 <REP> Multimedia Card Reader
17/01/2006 22:50 <REP> NetMeeting
17/01/2006 22:48 <REP> Online Services
09/12/2006 18:53 <REP> Outlook Express
27/07/2006 10:05 <REP> Overland
29/01/2006 10:13 <REP> Realtek AC97
17/01/2006 22:51 <REP> Services en ligne
06/11/2006 10:25 <REP> Softwin
17/01/2006 19:06 <REP> Spybot - Search & Destroy
31/03/2005 22:17 40ÿ960 Uninstall_CDS.exe
15/01/2007 12:57 <REP> Windows Live Toolbar
17/02/2006 12:12 <REP> Windows Media Player
17/01/2006 22:47 <REP> Windows NT
18/01/2006 11:36 <REP> WinRAR
17/01/2006 22:52 <REP> xerox
1 fichier(s) 40ÿ960 octets
49 R‚p(s) 29ÿ503ÿ180ÿ800 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
netsearchsoft.com REG_SZ
www.netsearchsoft.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\BERTRAND\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\ZGI1HO09.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
KAVPersonal50 REG_SZ "C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kav.exe" /minimize

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
playbib REG_SZ C:\DOCUME~1\Bertrand\APPLIC~1\FORDAM~1\Dvd Idol Burn.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\WINDOWS

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 74CB-7578

R‚pertoire de C:\WINDOWS


*************** Fin du rapport ****************

voila ...en attente de la suite de la manip.
0
Réponse 3 / 8
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
30 janv. 2007 à 22:40
Bonsoir,

je regarde ton rapport réponse dans un moment
0
Réponse 4 / 8
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
30 janv. 2007 à 22:51
re

Note comment démarrer en mode sans échec
http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

1* Télécharge : - CCleaner
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

* Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"playbib"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"www.netsearchsoft.com REG_SZ"=-
"netsearchsoft.com REG_SZ"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"


*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****


/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

Fordamokmulti

/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\Bertrand\Application Data\ Fordamokmulti
C:\Program Files\ Fordamokmulti

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
totanovich Messages postés 69 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 1 juillet 2022 6
31 janv. 2007 à 13:20
bonjour et merci
niveau manip ca a ete.

ci joint le resultat demandé:

Logfile of HijackThis v1.99.1
Scan saved at 13:17:56, on 31/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Hacker\KAVPF.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
E:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bertrand\Bureau\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=321search&e=com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=76420697312543738FC7AC1F1CA1CB9B
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\MICROA~1\SCURIT~1\ANTI-V~1\ANTI-S~1\OESpamTest.ExE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmes\qttask.exe" -atboottime
O4 - HKLM\..\Run: webwiz "E:\PROGRA~2\_WEBWI~1\WEBWIZ~1.EXE"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\programmes+jeux\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Anti-Hacker.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sandra-bertrand.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Anti-Virus Service (kavsvc) - Kaspersky Labs Ltd. - C:\Program Files\Micro Application\Sécurité Internet\Anti-Virus Perso & Pro\Anti-Virus\kavsvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

merci .en attente.
0
Réponse 6 / 8
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
31 janv. 2007 à 22:10
Bonsoir,

où en es tu de tes problèmes initiaux ?
0
Réponse 7 / 8
totanovich Messages postés 69 Date d'inscription vendredi 29 décembre 2006 Statut Membre Dernière intervention 1 juillet 2022 6
2 févr. 2007 à 08:53
bonjour,

merci de l aide apportée, je n'ai plus de soucis depuis.

bonne journée
0
Réponse 8 / 8
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
2 févr. 2007 à 11:35
parfait,

mais ton topic en résolu stp. Merci
0

Discussions similaires

Trojan Win32 generic
yelena94 -
yelena94 -

27 réponses
Trojan.Win32.Hosts2.gen
matthieugoua -
afideg -

38 réponses
que veut dire virus Trojan-Downloader.Win32.A
patrefutine -
Utilisateur anonyme -

44 réponses
PDM:Trojan.generic.win32 depuis 2 jours
CTF05 -
Malekal_morte- -

5 réponses
Infection par Trojan.Win32.Bazon.a
Capdec -
Capdec -

16 réponses