[Virus - Trojans et d'autres petits] Fermé

Question

Bonjour,
J'ai passé toute ma soirée à chercher une solution. Je suis apparemment infecté par 6 ou 7 virus environ (d'après Kaspersky) et principalement des Trojan. En réalité depuis quelques mois j'avais des fenêtres publicitaires (casino, Meetic, scans... en général le contenu des pubs) qui venaient sans cesse surtout pendant que je surfais. J'ai lu beaucoup de cas sur les forums et je m'en vois à mon regret, contraint de devoir vous soumettre mes rapports moi aussi.

Voici le rapport HijackThis (je connaissais pas du tout avant de lire vos posts et d'ailleurs je me demande si quand on le lance il faut fermer tous les programmes ou non, en tout cas j'ai laissé ouvert ce que j'avais au moment du rapport) :
Logfile of HijackThis v1.99.1
Scan saved at 23:03:35, on 05/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\XCSyncML.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~2\IAMAPP.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\SYMANT~1\DefWatch.exe
C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE
C:\PROGRA~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE
C:\Program Files\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {BBD8D7FA-BE03-2D33-BC7E-7BD7119C2C99} - C:\DOCUME~1\ADMINI~1\APPLIC~1\Plusheck\help title.exe (file missing)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [XCSyncML] C:\WINDOWS\System32\XCSyncML.exe
O4 - HKLM\..\Run: [Mix Poll Thunk Name] C:\Documents and Settings\All Users\Application Data\Show inter mix poll\proxy default.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~2\IAMAPP.EXE
O4 - HKLM\..\Run: [nurb dart amen part] C:\Documents and Settings\All Users\Application Data\DogOpenNurbDart\JUNKSAVE.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\RunOnce: [eISS_licreg] "C:\Program Files\CA\eTrust Internet Security Suite\licreg.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [DogKind] C:\DOCUME~1\ADMINI~1\APPLIC~1\DOWNLO~1\scr store mode.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE
O23 - Service: Symantec Client Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe











Et voici le scan  de Kaspersky que j'ai hébergé sur mon serveur :
http://www.jmahe.com/rapportkaspersky.html


Alors d'après tout ce que j'ai lu, ca fait quand même peur avec tout ce qu'il y a à télécharger, les retours en mode sans echec etc ... mais bon s'il faut y passer ... .

Merci en tout cas du temps que vous pourrez consacrer à mon cas lol.
Ah, une précision qui peut etre nécessaire : j'ai touché à une ligne du registre en faisant Démarrer>Executer>Tapé regedit et c'était dans la ligne Hkey_Current_User où j'ai effacé "s.grunt" ou quelque chose qui y ressemble.

Merci d'avance

philae83 · Answer

bonsoir,

* Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/lopxpMH2.zip


* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

Jmahe · Answer

Voilà le rapport : Rapport fait à 23:39:57,79 le 05/02/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 01/01/2005 00:31 . 01/01/2005 00:31 .. 13/11/2006 23:14 .BitTornado 01/05/2006 20:59 Adobe 03/10/2006 18:00 AdobeUM 18/10/2006 17:22 Apple Computer 08/01/2007 23:01 BitGrabber 13/11/2006 16:21 BitTorrent 08/01/2007 23:01 DownloadMeetSend 17/11/2006 20:06 dvdcss 22/05/2006 20:09 Google 01/01/2005 00:31 Identities 05/02/2007 21:15 Lavasoft 17/01/2007 00:26 LG Electronics 25/04/2006 22:42 Macromedia 01/01/2005 00:31 Microsoft 09/01/2005 07:36 Mozilla 12/01/2007 04:07 PC Tools 16/01/2007 04:00 Plusheck 01/06/2006 23:22 Real 02/05/2006 11:34 Shareaza 05/01/2007 21:30 Simple Sudoku 26/04/2006 00:58 Sun 25/04/2006 22:32 Talkback 25/04/2006 22:32 Thunderbird 01/05/2006 22:14 Visicom Media 04/05/2006 11:17 vlc 20/11/2006 18:44 XCPCSync.OEM 01/01/2005 00:31 62 desktop.ini 08/06/2006 23:18 94 sversion.ini 2 fichier(s) 156 octets 28 R‚p(s) 105ÿ485ÿ213ÿ696 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 01/01/2005 00:31 . 01/01/2005 00:31 .. 01/05/2006 20:59 Adobe 02/06/2006 15:23 Apple Computer 25/04/2006 22:41 Google 04/02/2007 14:55 Identities 19/05/2006 06:44 Logitech-LS 01/01/2005 00:31 Microsoft 09/01/2005 07:36 Mozilla 02/05/2006 11:34 Shareaza 04/02/2007 14:48 Stardock 15/01/2007 00:02 Symantec 25/04/2006 22:32 Thunderbird 02/05/2006 18:35 108ÿ544 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 19/06/2006 21:15 21ÿ664 GDIPFONTCACHEV1.DAT 2 fichier(s) 130ÿ208 octets 13 R‚p(s) 105ÿ485ÿ213ÿ696 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\All Users\Application Data 01/01/2005 00:19 . 01/01/2005 00:19 .. 01/05/2006 19:41 Adobe 01/05/2006 19:44 Adobe Systems 02/06/2006 15:22 Apple Computer 05/02/2007 20:02 CA 14/01/2007 16:27 DogOpenNurbDart 28/09/2006 00:38 Google 09/05/2006 12:17 Messenger Plus! 01/01/2005 00:19 Microsoft 08/01/2007 23:01 Show inter mix poll 09/01/2005 07:41 Spybot - Search & Destroy 15/01/2007 00:01 Symantec 12/01/2007 04:08 TEMP 04/09/2006 17:43 Windows Genuine Advantage 05/02/2007 20:46 3ÿ120 118300.34 01/01/2005 00:20 62 desktop.ini 2 fichier(s) 3ÿ182 octets 15 R‚p(s) 105ÿ485ÿ201ÿ408 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\Default User\Application Data 01/01/2005 00:19 . 01/01/2005 00:19 .. 01/01/2005 00:19 Microsoft 01/01/2005 00:20 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 01/01/2005 00:20 . 01/01/2005 00:20 .. 01/01/2005 00:27 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\LocalService\Application Data 01/01/2005 00:31 . 01/01/2005 00:31 .. 01/01/2005 00:31 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 01/01/2005 00:31 . 01/01/2005 00:31 .. 01/01/2005 00:31 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 01/01/2005 00:31 . 01/01/2005 00:31 .. 01/01/2005 00:31 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 01/01/2005 00:31 . 01/01/2005 00:31 .. 01/01/2005 00:31 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 01/01/2005 00:29 . 01/01/2005 00:29 .. 01/01/2005 00:29 Microsoft 01/01/2005 00:29 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 01/01/2005 00:29 . 01/01/2005 00:29 .. 01/01/2005 00:29 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\WINDOWS\Tasks 16/01/2007 04:00 284 AAF26ED091A1ED5C.job 01/01/2005 00:26 6 SA.DAT 01/01/2005 00:25 65 desktop.ini 01/01/2005 00:25 .. 01/01/2005 00:25 . 3 fichier(s) 355 octets 2 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres ****************************************** ## Répertoires de Program files Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\Program Files 05/02/2007 21:30 . 05/02/2007 21:30 .. 12/08/2006 01:25 802.11 Wireless LAN 18/10/2006 17:32 Adobe 15/05/2006 20:38 amsn 03/09/2006 23:37 ASUS 24/04/2006 16:27 ATI Technologies 19/06/2006 21:22 AVSMedia 08/01/2007 23:02 BitGrabber 13/11/2006 23:13 BitTornado 21/01/2007 01:31 BitTorrent 05/02/2007 20:02 CA 09/01/2005 07:18 Common Files 01/01/2005 00:24 ComPlus Applications 02/05/2006 18:41 DivX 16/01/2007 04:00 DownloadMeetSend 05/02/2007 20:02 Fichiers communs 09/01/2005 07:18 Free.fr 15/10/2006 01:15 FreeBrowser 15/10/2006 01:04 Freeplayer 19/10/2006 13:07 Google 04/02/2007 14:48 Internet Explorer 05/07/2006 14:42 Java 05/02/2007 21:15 Lavasoft 16/01/2007 12:48 LG Electronics 16/01/2007 12:48 LG PC Suite 19/05/2006 17:10 Logitech 15/01/2007 01:12 messenger 28/12/2006 17:07 Messenger Plus! Live 14/05/2006 13:53 MessengerPlus! 3 01/01/2005 00:27 microsoft frontpage 28/12/2006 14:30 Monaco Systems 14/01/2007 16:04 Movie Maker 05/02/2007 22:58 Mozilla Firefox 05/02/2007 22:16 Mozilla Thunderbird 01/01/2005 00:24 MSN Gaming Zone 04/02/2007 14:19 MSN Messenger 24/04/2006 16:29 My Company Name 01/05/2006 21:52 Namo 20/11/2006 16:22 NEC 20/11/2006 16:23 NEC Synchronization 14/01/2007 16:00 NetMeeting 05/07/2006 14:24 Ottodikt 05/07/2006 14:40 OUIDIRE LookHere 04/02/2007 16:17 Outlook Express 02/06/2006 15:22 QuickTime 15/05/2006 21:42 Real 15/05/2006 21:42 Reality Fusion 01/01/2005 00:24 Services en ligne 02/05/2006 11:34 Shareaza 05/01/2007 21:30 Simple Sudoku 21/06/2006 01:34 SLD Codec Pack 23/01/2007 18:50 Spybot - Search & Destroy 13/01/2007 21:19 Spyware Doctor 26/01/2007 21:10 StarOffice7 15/01/2007 00:02 Symantec 15/01/2007 00:10 symantec_antivirus_client_v8_1_0_825 05/02/2007 20:01 symantec_client_firewall_v5_1 19/10/2006 22:19 Tablet 19/10/2006 22:19 Tablette 09/05/2006 23:03 TimeAdjuster 01/01/2005 00:09 ToniArts 05/07/2006 15:20 ttable 04/05/2006 10:28 VideoLAN 17/05/2006 18:02 Virtools Web Player 3.5 02/05/2006 18:35 Visicom Media 01/05/2006 22:14 vmntoolbar 14/01/2007 22:40 Winamp 18/05/2006 22:13 Windows Media Components 04/02/2007 14:48 Windows Media Player 14/01/2007 16:00 Windows NT 17/05/2006 17:58 WinRAR 01/01/2005 00:27 xerox 12/01/2007 04:00 xp-AntiSpy 20/01/2007 03:00 Xvid 0 fichier(s) 0 octets 75 R‚p(s) 105ÿ485ÿ193ÿ216 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow www.userplane.com REG_BINARY netsearchsoft.com REG_SZ www.netsearchsoft.com REG_SZ fr.worldsbiggestchat.com REG_BINARY * Mozilla Firefox (1 autorisé 2 interdit) ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Mix Poll Thunk Name REG_SZ C:\Documents and Settings\All Users\Application Data\Show inter mix poll\proxy default.exe nurb dart amen part REG_SZ C:\Documents and Settings\All Users\Application Data\DogOpenNurbDart\JUNKSAVE.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] DogKind REG_SZ C:\DOCUME~1\ADMINI~1\APPLIC~1\DOWNLO~1\scr store mode.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\WINDOWS Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 70A4-0D8F R‚pertoire de C:\WINDOWS *************** Fin du rapport **************** Merci d'etre si rapide déjà

philae83 · Answer

je regarde ton rapport et te prépare les manips d'ici un petit moment

Jmahe · Answer

OK, merci beaucoup de ton aide

philae83 · Answer

re



Note comment démarrer en mode sans échec 

https://docs.microsoft.com/en-us/?mfr=true


1* Télécharge : - CCleaner 
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

*  Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) : 

REGEDIT4

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mix Poll Thunk Name"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nurb dart amen part"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DogKind"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"www.userplane.com REG_BINARY"=-
"netsearchsoft.com REG_SZ"=-
"www.netsearchsoft.com REG_SZ"=-
"fr.worldsbiggestchat.com REG_BINARY"=-


 Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)***** 


/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

C:\Program Files\ DownloadMeetSend

 / Assure toi d'avoir accès aux dossiers/fichiers cachés :

    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"


/ recherche et supprime ces dossiers ou fichiers, si tu les trouves : 

C:\Documents and Settings\Administrateur\Application Data \Plusheck
C:\Documents and Settings\All Users\Application Data \DogOpenNurbDart
C:\Documents and Settings\All Users\Application Data \Show inter mix poll

 / démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job 


valide par entrée, puis ferme la fenêtre de commande.

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Jmahe · Answer

J'ai pas bien saisi à quel moment je devais redémarrer en mode sans echec... avant ou après avoir installé CCleaner ou bien je suis totalement largué ?

philae83 · Answer

c'est écrit ici :

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****


tu télécharges ccleaner, tu regardes comment redémarrer en mode sans échec, et tu suis la procédure.
La suite demain en ce qui me concerne, il se fait tard.
bonne nuit

Jmahe · Answer

Ah oui, pardon j'ai lu trop vite et j'avais pas remarqué la "*" à côté du ? Autant pour moi alors. Bon très bien, je vais essayer de tout suivre (j'aurai besoin de noter les étapes à partir du mode sans echec puisque j'aurai plus accès à Internet pour les consulter ?).
Merci encore une fois pour ton aide

Jmahe · Answer

Non c'est bon, faut que je change ma paire d'oeils je lis une ligne sur deux. Pas besoin de répondre à la question précédente, ca m'apprendra à pas bien lire. 
Y'a pas une fonction éditer ses messages ? Ca évite les doubles posts

Utilisateur anonyme · Answer

Oui, mais je pense qu'elle est dispo que pour les abonnés ,-)

Jmahe · Answer

OK, ca semble logique aussi :)

Sinon j'ai essayé maintes fois de rédemarrer en mode sans échec mais rien n'y fait. Quand je redemarre normalement il ignore mon F8, mais quand je le force un peu en lui faisant un reset, il dédaigne à me sortir les différents systèmes dont "mode sans echec" mais impossible d'utiliser les flèches pour choisir mon mode et du coup je passe en windows normalement après 30secondes de délai. J'ai essayé de mettre le clavier en ver. numérique ou pas avant le redémarrage (parce que pendant la séléction du mode sans echec le clavier ne réagit plus du tout et n'est même plus allumé).

philae83 · Answer

bonsoir,

désolée, mais j'ai dû m'absenter aujourd'hui et ne suis pas certaine d'être là demain

en attendant essaye avec
http://www.freewarefiles.com/program_9_217_17269.html
pour le mode sans échec

Jmahe · Answer

Merci pour le lien, j'ai pu redemarré correctement en mode sans echec ;) j'suis sidéré de voir tous les trucs que vous connaissez en informatique lol.

Bref, donc j'ai suivi ce qui a été dit dans les consignes et tout n'a pas très bien fonctionné ...

/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

C:\Program Files\ DownloadMeetSend

Alors je n'ai pas trouvé de programme dans "Ajout/Suppresion de Programmes" ni même en faisant en search dans windows. En cherchant manuellement (Poste de Travail > C:>Programs Files) j'ai trouvé le dossier "Download MeetSend" que j'ai supprimé (et il était vide, même avec les options d'affichages de dossiers).

/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


Bon ca OK y'a pas eu de souçis ...

/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\Administrateur\Application Data \Plusheck
C:\Documents and Settings\All Users\Application Data \DogOpenNurbDart
C:\Documents and Settings\All Users\Application Data \Show inter mix poll

Je les ai tous trouvé et tous supprimé.

/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

del /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job


valide par entrée, puis ferme la fenêtre de commande.

Alors, je l'ai bien fait, mais une fois tapé entrée, le ms dos me sort "C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job le lien spéficié n'existe pas" ou "impossible de trouver C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job" enfin un truc du genre, je me souviens plus exactement, mais en gros il trouvait pas ce lien : C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job.

Et j'ai essayé de le faire juste avec C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job ou bien sans le "del" : /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job. Rien à faire, toujours des messages d'erreurs.


/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

Alors j'ai bien eu le message sauf que c'était marqué le lien du fichier ".reg" au lieu de" les informations contenues dans ce fichier .reg" mais c'est un détail on s'en fiche je pense, mais j'préférais le préciser.
J'ai bien cliqué sur oui et là j'ai eu cette erreur que j'ai recopié :
"Le fichier spécifié n'est pas un script du registre. Vous pouvez uniquement importer des fichiers du registre binaire à partir de l'éditeur du registre."


/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

C'est fait, pas de souçis.

Et voici le rapport avec Internet fermé, l'antivirus aussi et toutes les applications.
Logfile of HijackThis v1.99.1
Scan saved at 18:21:09, on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\XCSyncML.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~2\IAMAPP.EXE
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\PROGRA~1\SYMANT~1\DefWatch.exe
C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE
C:\PROGRA~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE
C:\Program Files\Messenger\MSMSGS.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {BBD8D7FA-BE03-2D33-BC7E-7BD7119C2C99} - C:\DOCUME~1\ADMINI~1\APPLIC~1\Plusheck\help title.exe (file missing)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [XCSyncML] C:\WINDOWS\System32\XCSyncML.exe
O4 - HKLM\..\Run: [Mix Poll Thunk Name] C:\Documents and Settings\All Users\Application Data\Show inter mix poll\proxy default.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~2\IAMAPP.EXE
O4 - HKLM\..\Run: [nurb dart amen part] C:\Documents and Settings\All Users\Application Data\DogOpenNurbDart\JUNKSAVE.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [DogKind] C:\DOCUME~1\ADMINI~1\APPLIC~1\DOWNLO~1\scr store mode.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE
O23 - Service: Symantec Client Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe




Une fois encore, merci beaucoup de votre aide ;)

philae83 · Answer

Bonjour,

désolée pour le retard

merci pour tes explications,

avais tu bien sélectionné ceci :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mix Poll Thunk Name"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nurb dart amen part"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DogKind"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"www.userplane.com REG_BINARY"=-
"netsearchsoft.com REG_SZ"=-
"www.netsearchsoft.com REG_SZ"=-
"fr.worldsbiggestchat.com REG_BINARY"=- 

ni plus, ni moins. C'est assez capricieux !

ensuite pour la tâche 

del /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job 

c'est pareil, tu as bien copié coller, et non recopié ?

parce qu'en fait, on en est au même point bien sûr.

[Virus - Trojans et d'autres petits]

14 réponses

Discussions similaires