Log hitjackths

lucas -  
 stéphane -
Salut,

J'ai un problème avec un ou plusieurs spyware depuis pa mal de temps et rie à faire pour m'en débarasser. J'ai tenter pein d'anti spy. Aussi, voici mon log hitjackths. Si quelqu'un pouvais me dire ce qui cloche j'en serais ravi !

Logfile of HijackThis v1.99.1
Scan saved at 22:44:41, on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\xp\LOCALS~1\Temp\Rar$EX01.097\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Find dog bolt obj] C:\Documents and Settings\All Users\Application Data\2scrfinddog\Safe64.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Ball Axis] C:\DOCUME~1\xp\APPLIC~1\FIVEBO~1\refmeow.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://ssl-tb.sitadelle.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{C218D1DE-D728-47EF-A79E-D66C08533782}: NameServer = 86.64.145.141 84.103.237.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
Configuration: Windows XP
Internet Explorer 7.0

7 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Poste ausi ces rapports.

    $$ Télécharge LopxpMH sur ton Bureau.

    http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

    Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

    Poste le contenu du rapport qui va s'ouvrir.

    $$ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
    https://www.f-secure.com/en
    Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres)

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    0
    1. lucas
       
      Merci Chercheurbis pour ta réponse rapide !

      Voici déja le bidule de lopxpMH.
      Je scan avec le second logiciel et je te poste le rapport au réveil.
      Merci !

      Rapport fait à 23:58:13,40 le 07/02/2007

      ******************************************
      ## Répertoires Application Data

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\All Users\Application Data

      09/05/2005 11:55 <REP> .
      09/05/2005 11:55 <REP> ..
      07/03/2006 11:23 <REP> Adobe
      09/06/2006 14:21 <REP> AntiVir PersonalEdition Classic
      05/06/2005 16:01 <REP> AOL
      05/09/2006 21:26 <REP> Apple Computer
      24/06/2006 21:11 <REP> Google
      15/07/2006 09:57 <REP> Kaspersky Anti-Virus Personal
      23/10/2006 12:24 <REP> Macromedia
      18/06/2006 18:04 <REP> Messenger Plus!
      09/05/2005 11:55 <REP> Microsoft
      22/05/2006 08:27 <REP> MSN6
      05/06/2005 16:04 <REP> QuickTime
      09/05/2005 11:41 <REP> SBT
      27/06/2006 23:29 <REP> Spybot - Search & Destroy
      09/05/2005 13:06 <REP> Symantec
      05/06/2005 16:05 <REP> Viewpoint
      18/03/2006 00:01 <REP> Windows Genuine Advantage
      18/06/2006 21:43 305 addr_file.html
      09/05/2005 11:55 62 desktop.ini
      05/09/2006 21:56 1ÿ755 QTSBandwidthCache
      3 fichier(s) 2ÿ122 octets
      18 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\Default User\Application Data

      09/05/2005 11:55 <REP> .
      09/05/2005 11:55 <REP> ..
      09/05/2005 11:55 <REP> Microsoft
      09/05/2005 11:55 62 desktop.ini
      1 fichier(s) 62 octets
      3 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

      09/05/2005 11:55 <REP> .
      09/05/2005 11:55 <REP> ..
      0 fichier(s) 0 octets
      2 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\LocalService\Application Data

      09/05/2005 11:15 <REP> .
      09/05/2005 11:15 <REP> ..
      09/05/2005 11:15 <REP> Microsoft
      0 fichier(s) 0 octets
      3 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

      09/05/2005 11:15 <REP> .
      09/05/2005 11:15 <REP> ..
      09/05/2005 11:15 <REP> Microsoft
      0 fichier(s) 0 octets
      3 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

      09/05/2005 11:15 <REP> .
      09/05/2005 11:15 <REP> ..
      09/05/2005 11:15 <REP> Microsoft
      14/05/2006 13:00 <REP> Symantec
      0 fichier(s) 0 octets
      4 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

      09/05/2005 11:15 <REP> .
      09/05/2005 11:15 <REP> ..
      09/05/2005 11:15 <REP> Microsoft
      12/08/2006 02:56 <REP> PCHealth
      0 fichier(s) 0 octets
      4 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\xp\Application Data

      09/05/2005 11:27 <REP> .
      09/05/2005 11:27 <REP> ..
      07/03/2006 11:18 <REP> Adobe
      07/03/2006 11:24 <REP> AdobeUM
      08/10/2005 17:27 <REP> Ahead
      05/06/2005 16:06 <REP> AOL
      05/09/2006 21:29 <REP> Apple Computer
      06/02/2007 12:16 <REP> Creative
      09/05/2005 15:00 <REP> EBP
      09/03/2006 18:09 <REP> Google
      09/05/2005 15:39 <REP> Help
      09/05/2005 11:27 <REP> Identities
      26/06/2006 17:52 <REP> Lavasoft
      06/03/2006 13:17 <REP> Learn2.com
      05/06/2005 16:11 <REP> Macromedia
      09/05/2005 11:27 <REP> Microsoft
      09/05/2005 11:33 <REP> Microsoft Web Folders
      22/05/2006 08:27 <REP> MSN6
      25/10/2006 17:36 <REP> NCH Swift Sound
      14/05/2006 13:02 <REP> Real
      23/10/2006 10:49 <REP> Skype
      25/11/2006 15:43 <REP> Sun
      09/05/2005 13:07 <REP> Symantec
      05/06/2005 16:05 <REP> You've Got Pictures Screensaver
      07/03/2006 11:17 1ÿ759 AdobeDLM.log
      09/05/2005 11:27 62 desktop.ini
      21/10/2006 10:25 0 dm.ini
      25/10/2006 17:58 1ÿ024 WavCodec.wff
      4 fichier(s) 2ÿ845 octets
      24 R‚p(s) 37ÿ882ÿ445ÿ824 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Documents and Settings\xp\Local Settings\Application Data

      09/05/2005 11:27 <REP> .
      09/05/2005 11:27 <REP> ..
      07/03/2006 11:24 <REP> Adobe
      08/02/2006 10:39 <REP> Ahead
      05/09/2006 21:29 <REP> Apple Computer
      06/02/2007 12:26 <REP> ApplicationHistory
      09/03/2006 18:09 <REP> Google
      09/05/2005 15:39 <REP> Help
      06/08/2005 19:33 <REP> Identities
      06/03/2006 13:17 <REP> Learn2.com
      24/10/2006 20:31 <REP> Macromedia
      09/05/2005 11:27 <REP> Microsoft
      24/12/2006 11:35 <REP> PCHealth
      11/08/2006 11:29 <REP> Shareaza
      30/06/2005 10:50 81ÿ920 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
      06/02/2007 12:26 125 fusioncache.dat
      27/08/2005 15:23 80ÿ528 GDIPFONTCACHEV1.DAT
      14/05/2006 13:44 7ÿ553ÿ790 IconCache.db
      4 fichier(s) 7ÿ716ÿ363 octets
      14 R‚p(s) 37ÿ882ÿ466ÿ304 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

      09/05/2005 11:14 <REP> .
      09/05/2005 11:14 <REP> ..
      09/05/2005 11:14 <REP> Microsoft
      05/06/2005 16:14 <REP> Symantec
      09/05/2005 11:14 62 desktop.ini
      1 fichier(s) 62 octets
      4 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

      09/05/2005 11:14 <REP> .
      09/05/2005 11:14 <REP> ..
      0 fichier(s) 0 octets
      2 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres

      ******************************************
      Recherche des taches planifiées dans C:\WINDOWS\tasks

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\WINDOWS\Tasks

      06/12/2006 22:18 330 MP Scheduled Scan.job
      09/05/2005 11:09 6 SA.DAT
      09/05/2005 11:06 65 desktop.ini
      09/05/2005 11:06 <REP> ..
      09/05/2005 11:06 <REP> .
      3 fichier(s) 401 octets
      2 R‚p(s) 37ÿ882ÿ449ÿ920 octets libres

      ******************************************
      ## Répertoires de Program files

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\Program Files

      07/02/2007 22:32 <REP> .
      07/02/2007 22:32 <REP> ..
      21/10/2006 10:30 <REP> Adobe
      09/05/2005 11:54 <REP> Ahead
      12/05/2005 07:47 <REP> AlsRack
      15/07/2006 09:26 <REP> Anti-Leech
      02/02/2007 17:11 <REP> AntiVir PersonalEdition Classic
      22/12/2005 19:33 <REP> Atari
      13/12/2006 21:08 <REP> Audacity
      06/11/2006 17:21 <REP> AudioCDMagic
      09/05/2005 15:59 <REP> Canon
      09/10/2006 11:17 <REP> Cegetel
      09/05/2005 11:04 <REP> ComPlus Applications
      06/02/2007 14:02 <REP> Creative
      26/10/2006 10:58 <REP> d-lusion
      09/05/2005 15:00 <REP> EBP
      05/02/2007 21:51 <REP> eMule
      25/11/2006 15:41 <REP> Fichiers communs
      16/09/2005 21:02 <REP> Flash 8 professional
      01/02/2007 13:24 <REP> Google
      13/12/2006 00:08 <REP> Grisoft
      19/12/2006 14:10 <REP> Image-Line
      14/07/2006 11:41 <REP> InterActual
      05/12/2006 18:53 <REP> Internet Explorer
      05/09/2006 21:27 <REP> iPod
      05/09/2006 21:27 <REP> iTunes
      03/01/2007 12:51 <REP> Java
      18/07/2006 13:35 <REP> Kaspersky Lab
      05/06/2005 16:05 <REP> Learn2.com
      23/10/2006 12:25 <REP> Macromedia
      27/02/2006 18:40 <REP> Messenger
      15/07/2006 16:20 <REP> MessengerPlus! 3
      09/05/2005 11:39 <REP> microsoft frontpage
      13/07/2006 14:45 <REP> Microsoft Office
      09/05/2005 11:35 <REP> Microsoft Visual Studio
      15/07/2006 15:56 <REP> Movie Maker
      09/05/2005 11:04 <REP> MSN
      09/05/2005 11:04 <REP> MSN Gaming Zone
      11/08/2006 19:53 <REP> MSN Messenger
      26/02/2006 20:13 <REP> NetMeeting
      06/03/2006 12:57 <REP> NewR&V
      16/12/2006 22:53 <REP> Outlook Express
      29/12/2006 17:26 <REP> Qnext
      05/09/2006 21:29 <REP> QuickTime
      05/06/2005 16:03 <REP> Real
      09/10/2006 11:18 <REP> SAGEM
      09/05/2005 11:07 <REP> Services en ligne
      06/02/2007 13:42 <REP> SightSpeed
      23/10/2006 10:49 <REP> Skype
      09/05/2005 11:41 <REP> Snapshot Viewer
      22/07/2006 21:54 <REP> Spybot - Search & Destroy
      27/06/2006 22:42 <REP> Symantec
      05/06/2005 16:05 <REP> Viewpoint
      16/12/2006 15:18 <REP> VstPlugins
      06/12/2006 22:15 <REP> Windows Defender
      16/12/2006 18:26 <REP> Windows Media Connect 2
      16/12/2006 18:28 <REP> Windows Media Player
      26/02/2006 20:12 <REP> Windows NT
      15/07/2006 10:13 <REP> WinRAR
      09/05/2005 11:10 <REP> xerox
      0 fichier(s) 0 octets
      60 R‚p(s) 37ÿ882ÿ445ÿ824 octets libres

      ******************************************
      ## Popups autorisées

      * Internet Explorer

      ! REG.EXE VERSION 3.0

      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
      cegetelportail.tfou.fr REG_BINARY
      exoforce.lego.com REG_BINARY

      * Mozilla Firefox (1 autorisé 2 interdit)

      ******************************************
      ## Registre

      * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      Find dog bolt obj REG_SZ C:\Documents and Settings\All Users\Application Data\2scrfinddog\Safe64.exe

      * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      Ball Axis REG_SZ C:\DOCUME~1\xp\APPLIC~1\FIVEBO~1\refmeow.exe

      ******************************************
      ## Zones de sécurité

      * HKCU Domains (4)

      * P3P History (5)

      ******************************************
      ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\WINDOWS

      Le volume dans le lecteur C n'a pas de nom.
      Le num‚ro de s‚rie du volume est B00F-0AD2

      R‚pertoire de C:\WINDOWS


      *************** Fin du rapport ****************
      0
    2. lucas
       
      le voila !

      rapport F secure blacklight


      jqhtpcxbam.exe
      jqhtpcxbam.dat
      jqhtpcxbam_nav.dat
      jqhtpcxbam_navps.dat

      merci
      0
  2. Utilisateur anonyme
     
    Re

    Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
    Les manipulations sont à faire sans interruption et dans l'ordre.
    Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


    $$ Télécharge Brute Force Uninstaller (de Merijn)
    http://www.merijn.org/files/bfu.zip
    Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

    $$ FAIS UN CLIC-DROIT sur le lien suivant
    http://metallica.geekstogo.com/EGDACCESS.bfu
    et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

    $$ Télécharge Navipromo.zip
    http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07.zip
    Décompresse-le sur ton bureau

    $$ Redémarre en mode Sans Échec : Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
    Démarre l'ordinateur.
    Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
    En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

    $$ Relance un scan HijackThis et coche les lignes ci-dessous :

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Find dog bolt obj] C:\Documents and Settings\All Users\Application Data\2scrfinddog\Safe64.exe
    O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
    O4 - HKCU\..\Run: [Ball Axis] C:\DOCUME~1\xp\APPLIC~1\FIVEBO~1\refmeow.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*

    Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

    $$ Lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
    Sélectionne l'option "Recherche et suppression automatique". Patiente.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.
    Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    $$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
    Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

    EGDACCESS.bfu

    Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur Execute et laisse-le faire son travail.
    Attendre que Complete script execution apparaîsse et clique sur OK.

    $$ Clique sur Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    => Supprime-les tous

    $$ Redémarre normalement

    Poste un nouveau hijackthis avec le rapport situé ici C:\egd.txt et le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
    0
  3. stéphane
     
    Cher chercheurbis,

    Tout d'abord merci pour le temps que tu consacres a notre problème. je dit "notre" car ce n'est pas Lucas qui t'écris mais Stéphane car le petit problème c'est transformé en gros problème !
    Nous avons fait ce que tu as dit mais nous avons eu un soucis avec navipromo puisque la mention "supprimer heuristique" n'apparaissait pas. Aussi sur les 4 lignes d'action du programme nous avons cherché en lançant la seconde. Nous avons vu déffiler des lignes de fichier et rapidement arrêté le programme de peur d'avoir fait une mauvaise manip.
    Au démarrage impossible d'ouvrir la session . Le message "un problème empêche windows de vérifier avec précision la licence de cette ordi. Erreur n° 0X80070002
    Nous avons redémarré en mode sans échec et fait une restauration. Mais c'est toujours pareil. En résumé tout est bloqué !
    Comment faire ? Le problème vient-il d'une mauvaise manip de navipromo ?
    Merci d'avance pour ta réponse.
    0
  4. Utilisateur anonyme
     
    Bonsoir

    Je ne vois pas comment Navipromo a provoqué ce dysfonctionnement ?

    Pour corriger ce problème, va sur ce lien
    https://support.microsoft.com/fr-fr/help/310794
    0
    1. stéphane
       
      J'ai déja été voir à la page que tu m'indiques et rein de tout ça n'éxiste pour l'ordi en question. Ce n'est pas un dell et aucune des entrés de la base de registre indiqué dans le document microsoft n'est présent. Pourtant, même si l'ordi est vieux (celeron 800 mhz), la version de windows est légale et tourne avec toutes les mises à jours accéptées par l'outil de vérification de licence.
      Quoi faire à ton avis ? Reinstallé ? Je n'ai pas le disque d'origine.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonjour

    Quand tu as lancé l'option 2 de Navipromo, as tu rentré un nom ?

    Peux tu poster le rapport de Navipromo afin de voir ce qu'il a fait ?

    Autre possibilité de réparation

    http://wikims.free.fr/phpBB2/viewtopic.php?t=31
    0
    1. stéphane
       
      non, j'ai laissé la ligne vierge et appuyé sur entrée. je n'ai pas le rapport. celui que j'ai date de l'opération précédente(première ligne de commande). j'essaie de le récupérer et je te l'envoi.
      Merci
      0
    2. stéphane
       
      Cher chercheur bis,

      J'ai demandé à mon amis de relancer navipromo sans echec afin d'avoir un rapport à t'envoyer. On va faire pareil avec Hitjackthis. Par contre il faut du temps car l'ordi n'est pas au même endroit. De plus je vais devoir imprimer et faire un scan aussi est-il possible d'avoir un mail ou t'envoyer les scan en fichier joint. Par ailleurs je vais tenter la procédure du line de ton précédent message que j'avais zappé. Merci encore !
      0
  7. Utilisateur anonyme
     
    Re

    Je ne donne pas mon e-mail.

    Si tu as des soucis pour mettre sur le forum, tu peux l'héberger ici
    https://www.sendspace.com/

    Ensuite, tu mets le mien ici.
    0
  8. stéphane
     
    Cher chercheur bis,

    Merci pour le temps que tu nous as consacré mais on à trouver un disque xp et fait une réparation qui génère à son tour plein de problèmes. Aussi, je crois qu'on est parti pour un formatage et reinstallation. On va tenter de s'en sortir de cette manière. En attendant bonne continuation et comme ils disent chez amen.fr "in web we trust !".
    0