Virus msn messenger koolpage.comRésolu/Fermé

Question

moi aussi g été conyaminé,
de mat29 en esperant ke ça marche!!!


Logfile of HijackThis v1.99.1
Scan saved at 18:36:27, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\dllvirtual.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HP\KBD\KBD.EXE
c:\windows\system\hpsysdrv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\HP_Administrateur\Mes documents\Patrick KERBRAT\Nouveau dossier\hijackthis\HijackThis.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://fr.search.yahoo.com/?fr=cb-hp06
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://fr.search.yahoo.com/?fr=cb-hp06
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\dllvirtual.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm119YYFR
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

Bonjour


Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les  manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger toolbar.bfu (de Chercheur). Sauvegarde dans le dossier créé (C:\BFU). **Note: si tu utlises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : toolbar.bfu et BFU.exe (très important).


$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


$$ Relance un scan HijackThis et coche la ligne ci-dessous :

O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\dllvirtual.exe 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


$$ Supprime les fichiers/dossiers incriminés

C:\WINDOWS\system32\dllvirtual.exe 


$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

toolbar.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU	oolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Clique Exit pour fermer le programme BFU.


$$ Redémarre normalement 

Poste un nouveau hijackthis.

Utilisateur anonyme · Answer

Bonjour

Tu as d'autre infections.

Télécharge LopxpMH sur ton Bureau.

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip 

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat. 

Poste le contenu du rapport qui va s'ouvrir.

nanou0084 · Answer

Rapport fait à 11:14:19,45 le 10/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\All Users\Application Data

16/12/2005 02:18 <REP> .
16/12/2005 02:18 <REP> ..
16/12/2005 02:18 <REP> Adobe
27/02/2007 17:54 <REP> Apple Computer
29/08/2006 10:43 <REP> eConsole
28/09/2006 18:27 <REP> Google
17/01/2007 13:49 <REP> ITCHLINKFILMCREATIVE
17/01/2007 13:49 <REP> Messenger Plus!
16/12/2005 02:08 <REP> Microsoft
29/08/2006 13:39 <REP> Spybot - Search & Destroy
16/12/2005 10:54 <REP> Symantec
29/08/2006 17:23 <REP> Windows Genuine Advantage
17/01/2007 14:29 <REP> Windows Live Toolbar
16/12/2005 03:04 62 desktop.ini
27/02/2007 18:06 1ÿ755 QTSBandwidthCache
2 fichier(s) 1ÿ817 octets
13 R‚p(s) 44ÿ362ÿ797ÿ056 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\ANAIS\Application Data

29/08/2006 10:28 <REP> .
29/08/2006 10:28 <REP> ..
29/08/2006 11:02 <REP> Adobe
24/09/2006 02:31 <REP> AdobeUM
27/02/2007 17:56 <REP> Apple Computer
29/08/2006 14:05 <REP> dvdcss
24/10/2006 07:27 <REP> FotoWire
28/09/2006 18:30 <REP> Google
29/08/2006 10:28 <REP> Identities
29/08/2006 13:40 <REP> Lavasoft
23/09/2006 13:50 <REP> Macromedia
29/08/2006 10:28 <REP> Microsoft
08/11/2006 21:36 <REP> Sun
29/08/2006 10:28 <REP> Symantec
17/01/2007 13:48 <REP> Test pure each
29/08/2006 14:06 <REP> vlc
29/08/2006 10:28 62 desktop.ini
19/09/2006 20:07 3ÿ902 wklnhst.dat
2 fichier(s) 3ÿ964 octets
16 R‚p(s) 44ÿ362ÿ797ÿ056 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\ANAIS\Local Settings\Application Data

29/08/2006 10:28 <REP> .
29/08/2006 10:28 <REP> ..
29/08/2006 10:28 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
29/08/2006 11:02 <REP> Adobe
30/08/2006 14:28 <REP> Ahead
27/02/2007 17:56 <REP> Apple Computer
29/08/2006 16:59 <REP> ApplicationHistory
29/08/2006 12:21 <REP> Google
29/08/2006 10:28 <REP> Microsoft
22/01/2007 23:19 <REP> Shareaza
29/08/2006 12:34 123ÿ392 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
29/08/2006 16:59 128 fusioncache.dat
29/08/2006 10:43 87ÿ416 GDIPFONTCACHEV1.DAT
29/08/2006 10:28 4ÿ309ÿ938 IconCache.db
4 fichier(s) 4ÿ520ÿ874 octets
10 R‚p(s) 44ÿ362ÿ797ÿ056 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\Default User\Application Data

16/12/2005 03:04 <REP> .
16/12/2005 03:04 <REP> ..
29/08/2006 10:27 <REP> Identities
16/12/2005 02:08 <REP> Microsoft
29/08/2006 10:27 <REP> Symantec
16/12/2005 03:04 62 desktop.ini
1 fichier(s) 62 octets
5 R‚p(s) 44ÿ362ÿ797ÿ056 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

16/12/2005 02:07 <REP> .
16/12/2005 02:07 <REP> ..
29/08/2006 10:27 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
16/12/2005 02:08 <REP> Microsoft
29/08/2006 10:27 3ÿ220ÿ034 IconCache.db
1 fichier(s) 3ÿ220ÿ034 octets
4 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

16/12/2005 02:10 <REP> .
16/12/2005 02:10 <REP> ..
16/12/2005 02:10 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

16/12/2005 02:10 <REP> .
16/12/2005 02:10 <REP> ..
16/12/2005 02:10 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

16/12/2005 02:10 <REP> .
16/12/2005 02:10 <REP> ..
16/12/2005 02:10 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

16/12/2005 02:10 <REP> .
16/12/2005 02:10 <REP> ..
16/12/2005 02:10 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

16/12/2005 03:04 <REP> .
16/12/2005 03:04 <REP> ..
29/08/2006 10:27 <REP> Identities
16/12/2005 03:04 <REP> Microsoft
29/08/2006 10:27 <REP> Symantec
16/12/2005 03:04 62 desktop.ini
1 fichier(s) 62 octets
5 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

16/12/2005 03:04 <REP> .
16/12/2005 03:04 <REP> ..
29/08/2006 10:27 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150050}
16/12/2005 02:07 <REP> Microsoft
29/08/2006 10:27 3ÿ220ÿ034 IconCache.db
1 fichier(s) 3ÿ220ÿ034 octets
4 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\WINDOWS\Tasks

07/03/2007 09:17 264 ADA3AC0F91845CBF.job
27/02/2007 17:54 284 AppleSoftwareUpdate.job
16/12/2005 10:56 6 SA.DAT
16/12/2005 02:25 <REP> ..
16/12/2005 02:25 <REP> .
05/08/2004 06:00 65 desktop.ini
4 fichier(s) 619 octets
2 R‚p(s) 44ÿ362ÿ792ÿ960 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est E4DD-CB2B

R‚pertoire de C:\Program Files

07/03/2007 09:17 <REP> .
07/03/2007 09:17 <REP> ..
29/08/2006 10:30 <REP> Acer
16/12/2005 02:18 <REP> Adobe
17/01/2007 13:56 <REP> Adverts
29/08/2006 13:57 <REP> Ahead
29/08/2006 10:54 <REP> Alwil Software
27/02/2007 17:54 <REP> Apple Software Update
14/02/2007 18:05 <REP> bin
17/01/2007 12:12 <REP> CCleaner
16/12/2005 02:06 <REP> ComPlus Applications
16/12/2005 02:22 <REP> CyberLink
14/02/2007 18:05 <REP> doc
29/09/2006 17:53 <REP> eDonkey2000
28/02/2007 20:22 <REP> eMule
06/02/2007 18:08 <REP> Fichiers communs
14/02/2007 18:05 55ÿ119 g95m-uninstall.exe
02/06/2006 00:01 <REP> Google
26/02/2007 09:46 <REP> Internet Explorer
27/02/2007 17:56 <REP> iPod
27/02/2007 17:56 <REP> iTunes
10/12/2006 21:14 <REP> Jasc Software Inc
03/01/2007 20:50 <REP> Java
29/08/2006 13:40 <REP> Lavasoft
14/02/2007 18:05 <REP> lib
23/09/2006 18:33 <REP> Logitech
13/06/2006 14:52 <REP> Messenger
17/01/2007 13:56 <REP> MessengerPlus! 3
19/09/2006 16:25 <REP> Microsoft AutoRoute
06/09/2006 14:00 <REP> Microsoft Encarta
13/06/2006 14:52 <REP> microsoft frontpage
06/02/2007 18:12 <REP> Microsoft Money
06/02/2007 18:10 <REP> Microsoft Office
19/09/2006 16:24 <REP> Microsoft Works
19/09/2006 16:23 <REP> Microsoft Works Suite 2005
29/08/2006 11:19 <REP> Microsoft.NET
13/06/2006 14:52 <REP> Movie Maker
13/06/2006 14:52 <REP> MSN
13/06/2006 14:52 <REP> MSN Gaming Zone
08/02/2007 17:37 <REP> MSN Messenger
18/11/2006 20:01 <REP> MSXML 4.0
13/06/2006 14:52 <REP> NetMeeting
23/09/2006 11:56 <REP> Neuf
29/08/2006 10:29 <REP> NewTech Infosystems
13/06/2006 14:53 <REP> Online Services
13/12/2006 20:00 <REP> Outlook Express
19/09/2006 16:25 <REP> Picture It! Premium 10
27/02/2007 17:55 <REP> QuickTime
13/06/2006 14:53 <REP> Realtek
13/06/2006 14:53 <REP> Services en ligne
17/01/2007 13:59 <REP> Spybot - Search & Destroy
07/03/2007 09:17 <REP> Test pure each
12/02/2007 17:52 <REP> Univ-Tchat
29/08/2006 14:04 <REP> VideoLAN
17/01/2007 21:47 <REP> Windows Live Toolbar
20/12/2006 16:42 <REP> Windows Media Connect 2
20/12/2006 16:42 <REP> Windows Media Player
13/06/2006 14:53 <REP> Windows NT
30/09/2006 10:31 <REP> WinRAR
29/08/2006 12:23 <REP> WinZip
14/02/2007 20:47 <REP> wscite
13/06/2006 14:53 <REP> xerox
06/10/2006 23:17 <REP> Yahoo!
29/09/2006 17:52 <REP> Zone Labs
1 fichier(s) 55ÿ119 octets
63 R‚p(s) 44ÿ362ÿ788ÿ864 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ
searchweb2.com REG_SZ
www.searchweb2.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
filmcreativecopyroad REG_SZ C:\Documents and Settings\All Users\Application Data\ITCHLINKFILMCREATIVE\SKIPFILM.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CHIC 16 REG_SZ C:\DOCUME~1\ANAIS\APPLIC~1\TESTPU~1\sectblah.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Utilisateur anonyme · Answer

Bonjour

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les  manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer


1 Télécharge 
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente


2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. 
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.


3 Relance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) 
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [Msconfig] C:\WINDOWS\system32\icpldrvx.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [filmcreativecopyroad] C:\Documents and Settings\All Users\Application Data\ITCHLINKFILMCREATIVE\SKIPFILM.exe 
O4 - HKCU\..\Run: [CHIC 16] C:\DOCUME~1\ANAIS\APPLIC~1\TESTPU~1\sectblah.exe 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


4 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\All Users\Application Data\ITCHLINKFILMCREATIVE 
C:\Documents and Settings\ANAIS\Application Data\Test pure each 
C:\WINDOWS\Tasks\ADA3AC0F91845CBF.job  
C:\Program Files\Adverts  
C:\WINDOWS\system32\icpldrvx.exe 

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.


6 Lance le nettoyage avec CCleaner


7 Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. 
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


8 Redémarre normalement

Poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware.

Virus msn messenger koolpage.com

4 réponses

Discussions similaires

Newsletters