[virus] messenger skinner

ANDRO Sabrina -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour, j'ai un probleme avec skinner je l'ai supprimer et les scans en ligne me le detecte toujours, infectés par des backdoors et trojans. Pourriez-vous m'aidez a supprimer skinner correctement SVP? Merci
Configuration: Windows XP
Internet Explorer 7.0

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème rencontré concerne une infection persistante après la suppression de Skinner, où les analyses en ligne continuent de détecter des backdoors et des trojans sur Windows XP avec Internet Explorer 7.
Plusieurs solutions proposées visent à renforcer le nettoyage: exécuter des scans via HijackThis et BitDefender Online, identifier et supprimer les éléments douteux et désactiver les points de restauration infectés.
Des tutoriels détaillent aussi une désinfection manuelle en mode sans échec, suppression de clés et programmes malveillants avec HijackThis, et l’usage d’outils complémentaires comme LopxpMH pour analyser et rapporter l’état.
Certains participants soulignent que des éléments du système de restauration restent infectés et qu’un nettoyage efficace peut nécessiter plusieurs passes et une révision des outils et paramètres de sécurité.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    Prends connaissance du contenu le lien suivant:
    http://www.f-secure.com/products/license-terms/eult_fra.pdf
    Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
    Maintenant fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.bat
    Laisses-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2 sans notre avis/accord)
    Patientes jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
    Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
  2. ANDRO Sabrina
     
    Voici ce que tu m'a demander :
    merci de ton aide

    Search Navipromo version 1.0.4 commencé le 02/03/2007 à 15:02:55,50

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Documents and Settings\sabinou\Bureau\navilog1
    Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\sabinou\Application Data ***

    ...\Application Data\MessengerSkinner trouvé !

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    Fichier(s) caché(s) dans C:\WINDOWS\system32 :

    c:\WINDOWS\system32\ubpwlsanub.dat
    C:\windows\system32\ubpwlsanub.exe
    c:\WINDOWS\system32\ubpwlsanub_nav.dat
    c:\WINDOWS\system32\ubpwlsanub_navps.dat

    Processus caché(s) dans C:\WINDOWS\system32 :

    C:\windows\system32\ubpwlsanub.exe

    *** Recherche fichiers ***

    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-1454471165-1801674531-839522115-1004\Software\Lanconfig trouvé !

    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers connus:

    C:\WINDOWS\pack.epk trouvé !

    2)Recherche Heuristique :
    (fichiers non traités par le fix)
    *
    **
    ***
    ****

    *** Analyse Terminé le 02/03/2007 à 15:08:00,29 ***
    0
  3. ANDRO Sabrina
     
    j'ai aussi bcp de fenetres de pub (casinos et compagnie...)qui s'ouvrent qd je me connecte, c'est très agacant.
    0
  4. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    Double clique sur navilog1.bat
    Laisses-toi guider. Au menu principal, choisis 2 et valides.
    Indique le mode de nettoyage "automatique"
    Laisses toi guider et réponds aux questions éventuelles
    Ton bureau va disparaitre, c'est normal.
    Patientes jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
    Sauvegardes le rapport de manière à le retrouver
    Refermes le blocnote. Ton bureau va réapparaitre
    Redémarres normalement et copies-colles l'intégralité dans une réponse.
    Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
    Tapes explorer et valides. Celà te fera apparaitre ton bureau
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. andro sabrina
     
    Bonjour,

    Voici le résultat de ce que tu m'a demander.
    Désolée pr le retard

    Clean Navipromo version 1.0.4 commencé le 04/03/2007 à 15:13:47,37

    Fix lancé depuis C:\Documents and Settings\sabinou\Bureau\navilog1
    Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

    Executé en mode sans echec

    Mode suppression automatique avec prise en charge résultats Blacklight

    *** Creation backups fichiers scan Blbeta ***

    Copie vers "C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi"

    *** Suppression des fichiers trouvés avec Blbeta ***

    c:\WINDOWS\system32\ubpwlsanub.dat supprimé !
    C:\windows\system32\ubpwlsanub.exe supprimé !
    c:\WINDOWS\system32\ubpwlsanub_nav.dat supprimé !
    c:\WINDOWS\system32\ubpwlsanub_navps.dat supprimé !

    ** 2ème passage **

    C:\WINDOWS\prefetch\ubpwlsanub*.pf trouvé !
    Copie C:\WINDOWS\prefetch\ubpwlsanub*.pf réalisé avec succès !
    C:\WINDOWS\prefetch\ubpwlsanub*.pf supprimé !

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\sabinou\Application Data ***

    ...\Application Data\MessengerSkinner ...suppression...
    ...\Application Data\MessengerSkinner supprimé !

    *** Suppression fichiers ***

    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\sabinou\Local Settings\Temp effectué !

    *** Sauvegarde du registre vers dossier Backupnavi***

    sauvegarde du registre réalisée avec succès !

    *** Nettoyage registre ***

    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***

    1)Recherche/Suppressions nouveaux fichiers connus:

    C:\WINDOWS\pack.epk trouvé !
    Copie C:\WINDOWS\pack.epk réalisé avec succès !
    C:\WINDOWS\pack.epk supprimé !

    2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):
    *
    **
    ***
    ****

    *** Nettoyage termine le 04/03/2007 à 15:14:30,10 ***
    0
  7. andro sabrina
     
    re, sinon quand je fais un scan en ligne avec bitdefender il me trouve toujours les memes virus et n'arrive pas a les supprimer apparement parce que il revienne toujours, je comprend pas, que dois-je faire? Voici le rapport : BitDefender Online Scanner

    Rapport d'analyse généré à: Sun, Mar 04, 2007 - 17:35:19

    Voie d'analyse: A:\;C:\;D:\;E:\;

    Statistiques

    Temps

    00:30:37

    Fichiers

    192214

    Directoires

    3463

    Secteurs de boot

    3

    Archives

    1089

    Paquets programmes

    6935

    Résultats

    Virus identifiés

    2

    Fichiers infectés

    11

    Fichiers suspects

    0

    Avertissements

    0

    Désinfectés

    0

    Fichiers effacés

    10

    Info sur les moteurs

    Définition virus

    402580

    Version des moteurs

    AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

    Analyse des plugins

    14

    Archive des plugins

    38

    Unpack des plugins

    6

    E-mail plugins

    6

    Système plugins

    1

    Paramètres d'analyse

    Première action

    Désinfecté

    Seconde Action

    Supprimé

    Heuristique

    Oui

    Acceptez les avertissements

    Oui

    Extensions analysées

    *;

    Excludez les extensions

    Analyse d'emails

    Oui

    Analyse des Archives

    Oui

    Analyser paquets programmes

    Oui

    Analyse des fichiers

    Oui

    Analyse de boot

    Oui

    Fichier analysé

    Statut

    C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe

    Echec de la désinfection

    C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe

    Echec de la suppression

    C:\Documents and Settings\sabinou\Application Data\style active math\five that.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\Documents and Settings\sabinou\Application Data\style active math\five that.exe

    Echec de la désinfection

    C:\Documents and Settings\sabinou\Application Data\style active math\five that.exe

    Supprimé

    C:\Documents and Settings\sabinou\Application Data\style active math\Tons Info Else.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\Documents and Settings\sabinou\Application Data\style active math\Tons Info Else.exe

    Echec de la désinfection

    C:\Documents and Settings\sabinou\Application Data\style active math\Tons Info Else.exe

    Supprimé

    C:\Documents and Settings\sabinou\Application Data\style active math\Vga One Soap Trans.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\Documents and Settings\sabinou\Application Data\style active math\Vga One Soap Trans.exe

    Echec de la désinfection

    C:\Documents and Settings\sabinou\Application Data\style active math\Vga One Soap Trans.exe

    Supprimé

    C:\Documents and Settings\sabinou\Application Data\style active math\yegeqzuw.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\Documents and Settings\sabinou\Application Data\style active math\yegeqzuw.exe

    Echec de la désinfection

    C:\Documents and Settings\sabinou\Application Data\style active math\yegeqzuw.exe

    Supprimé

    C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009

    Infecté par: Backdoor.Skinymes.Agent.A

    C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009

    Echec de la désinfection

    C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009

    Supprimé

    C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)

    Echec de la mise à jour

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009

    Infecté par: Backdoor.Skinymes.Agent.A

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009

    Supprimé

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)

    Echec de la mise à jour

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076896.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076896.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076896.exe

    Supprimé

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076897.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076897.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076897.exe

    Supprimé

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076898.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076898.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076898.exe

    Supprimé

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076899.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076899.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076899.exe

    Supprimé

    Merci.
    0
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  9. Andro Sabrina
     
    Re,
    Voila ce que tu ma demander de faire :

    Logfile of HijackThis v1.99.1
    Scan saved at 11:39:56, on 05/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\SpyErazer\pcd-as.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
    C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
    C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [Soapbluereadmeaxis] C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe
    O4 - HKLM\..\Run: [TrueImage Monitor] "C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [VirusKeeper] F:\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [PCDAS] C:\Program Files\SpyErazer\pcd-as.exe /10003
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Amen Cool] C:\DOCUME~1\sabinou\APPLIC~1\STYLEA~1\five that.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
    O4 - Global Startup: BlueSoleil.lnk = ?
    O4 - Global Startup: Bootvis.lnk = F:\BootVisfr\Bootvis_Sleep.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://bitdefender.solutions-antivirus.com/scan8/oscan8.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  10. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re,

    Tu es infectée par lop.

    Télécharge LopxpMH sur ton Bureau.

    http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

    Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

    Poste le contenu du rapport qui va s'ouvrir.

    A+
    0
  11. Andro Sabrina
     
    Voila le rapport :

    Rapport fait à 13:37:52,67 le 05/03/2007

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\All Users\Application Data

    31/07/2006 16:49 <REP> .
    31/07/2006 16:49 <REP> ..
    13/12/2006 12:27 <REP> 16 gram soap blue
    08/10/2006 09:39 <REP> Apple Computer
    21/08/2006 13:46 <REP> Bluetooth
    18/01/2007 11:05 <REP> Google
    20/08/2006 19:17 <REP> McAfee.com
    20/08/2006 19:19 <REP> McAfee.com Personal Firewall
    31/07/2006 16:49 <REP> Microsoft
    15/11/2006 18:23 <REP> Spybot - Search & Destroy
    31/10/2006 13:37 <REP> Windows Genuine Advantage
    22/08/2006 21:22 <REP> Windows Live Toolbar
    04/03/2007 14:16 3ÿ120 118300.34
    31/07/2006 16:49 62 desktop.ini
    11/12/2006 20:47 1ÿ755 QTSBandwidthCache
    3 fichier(s) 4ÿ937 octets
    12 R‚p(s) 16ÿ151ÿ662ÿ592 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\Default User\Application Data

    31/07/2006 16:49 <REP> .
    31/07/2006 16:49 <REP> ..
    31/07/2006 16:49 <REP> Microsoft
    31/07/2006 16:49 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    31/07/2006 16:49 <REP> .
    31/07/2006 16:49 <REP> ..
    31/07/2006 15:01 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\LocalService\Application Data

    31/07/2006 15:08 <REP> .
    31/07/2006 15:08 <REP> ..
    01/03/2007 20:12 <REP> Google
    20/08/2006 19:19 <REP> McAfee.com Personal Firewall
    31/07/2006 15:08 <REP> Microsoft
    0 fichier(s) 0 octets
    5 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    31/07/2006 15:08 <REP> .
    31/07/2006 15:08 <REP> ..
    01/03/2007 20:12 <REP> Google
    31/07/2006 15:08 <REP> Microsoft
    0 fichier(s) 0 octets
    4 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

    31/07/2006 15:05 <REP> .
    31/07/2006 15:05 <REP> ..
    31/07/2006 15:05 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    31/07/2006 15:05 <REP> .
    31/07/2006 15:05 <REP> ..
    31/07/2006 15:05 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\sabinou\Application Data

    31/07/2006 15:09 <REP> .
    31/07/2006 15:09 <REP> ..
    08/10/2006 09:51 <REP> Apple Computer
    04/03/2007 12:35 <REP> Bitdefender
    18/01/2007 11:03 <REP> Google
    21/08/2006 14:07 <REP> Help
    31/07/2006 15:09 <REP> Identities
    21/08/2006 14:00 <REP> InterVideo
    15/11/2006 22:07 <REP> Lavasoft
    21/08/2006 13:20 <REP> LimeWire
    19/08/2006 14:30 <REP> Macromedia
    20/08/2006 19:19 <REP> McAfee.com Personal Firewall
    21/08/2006 15:20 <REP> Media Player Classic
    29/12/2006 14:33 <REP> Micro Application
    31/07/2006 15:09 <REP> Microsoft
    04/03/2007 15:26 <REP> Mozilla
    27/02/2007 20:49 <REP> OpenOffice.org2
    19/01/2007 16:14 <REP> Samsung
    13/12/2006 12:26 <REP> style active math
    19/12/2006 13:10 <REP> Sun
    04/03/2007 15:27 <REP> Talkback
    31/07/2006 15:09 62 desktop.ini
    1 fichier(s) 62 octets
    21 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Documents and Settings\sabinou\Local Settings\Application Data

    31/07/2006 15:09 <REP> .
    31/07/2006 15:09 <REP> ..
    21/08/2006 13:14 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150030}
    08/10/2006 09:51 <REP> Apple Computer
    18/01/2007 11:25 <REP> Google
    21/08/2006 14:07 <REP> Help
    24/08/2006 16:26 <REP> Identities
    31/07/2006 15:09 <REP> Microsoft
    04/03/2007 15:26 <REP> Mozilla
    18/01/2007 12:56 <REP> WMTools Downloaded Files
    27/08/2006 17:33 12ÿ288 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    19/08/2006 15:01 14ÿ304 GDIPFONTCACHEV1.DAT
    31/07/2006 15:48 4ÿ824ÿ778 IconCache.db
    3 fichier(s) 4ÿ851ÿ370 octets
    10 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    31/07/2006 15:04 <REP> .
    31/07/2006 15:04 <REP> ..
    31/07/2006 15:04 <REP> Microsoft
    31/07/2006 15:04 62 desktop.ini
    1 fichier(s) 62 octets
    3 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    31/07/2006 15:04 <REP> .
    31/07/2006 15:04 <REP> ..
    31/07/2006 15:04 <REP> Microsoft
    0 fichier(s) 0 octets
    3 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\WINDOWS\Tasks

    02/03/2007 12:07 272 AAEDEBA5918A629D.job
    14/02/2007 19:19 284 AppleSoftwareUpdate.job
    31/07/2006 15:08 6 SA.DAT
    31/07/2006 14:59 65 desktop.ini
    31/07/2006 14:59 <REP> ..
    31/07/2006 14:59 <REP> .
    4 fichier(s) 627 octets
    2 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C n'a pas de nom.
    Le num‚ro de s‚rie du volume est 2C96-D595

    R‚pertoire de C:\Program Files

    04/03/2007 18:05 <REP> .
    04/03/2007 18:05 <REP> ..
    04/03/2007 13:26 <REP> Alwil Software
    14/02/2007 19:19 <REP> Apple Software Update
    04/03/2007 16:45 <REP> a-squared Free
    31/07/2006 15:14 <REP> ASUS
    31/07/2006 14:58 <REP> ComPlus Applications
    31/07/2006 15:17 <REP> Creative
    01/11/2006 10:36 <REP> DirectX
    10/09/2006 17:22 <REP> DJ Mix Pro
    04/03/2007 12:20 <REP> Fichiers communs
    26/01/2007 16:22 <REP> Google
    29/12/2006 22:22 <REP> Handset Manager
    05/03/2007 11:37 <REP> Hijackthis Version Fran‡aise
    18/02/2007 20:48 <REP> Internet Explorer
    03/11/2006 18:10 <REP> InterVideo
    21/08/2006 13:30 <REP> IVT Corporation
    18/01/2007 11:03 <REP> Java
    15/11/2006 22:05 <REP> Lavasoft
    21/08/2006 13:15 <REP> LimeWire
    02/03/2007 12:06 <REP> Messenger Plus! Live
    17/01/2007 19:38 <REP> Micro Application
    31/07/2006 15:02 <REP> microsoft frontpage
    18/01/2007 12:57 <REP> MixVibes6
    31/07/2006 14:59 <REP> Movie Maker
    05/03/2007 13:32 <REP> Mozilla Firefox
    31/07/2006 14:57 <REP> MSN Gaming Zone
    04/03/2007 12:08 <REP> MSN Messenger
    15/11/2006 22:14 <REP> MSXML 4.0
    28/12/2006 13:38 <REP> Multimedia Mouse Driver
    13/11/2006 22:12 <REP> NETGEAR
    31/07/2006 14:59 <REP> NetMeeting
    29/12/2006 13:55 <REP> Office Mouse Driver
    31/07/2006 14:57 <REP> Online Services
    27/02/2007 20:46 <REP> OpenOffice.org 2.1
    16/12/2006 03:00 <REP> Outlook Express
    21/02/2007 17:14 <REP> PhotoFiltre
    08/01/2007 15:04 <REP> QuickTime
    29/08/2006 12:30 <REP> Samsung
    19/08/2006 14:19 <REP> Securitoo
    31/07/2006 15:00 <REP> Services en ligne
    04/03/2007 12:21 <REP> Softwin
    04/03/2007 14:26 <REP> SpyErazer
    02/03/2007 12:07 <REP> style active math
    02/03/2007 13:09 <REP> VirusKeeper 2007 Pro Evaluation
    24/08/2006 16:30 <REP> Wanadoo
    17/01/2007 19:39 <REP> Web Media Player
    20/02/2007 20:11 <REP> Windows Live Safety Center
    21/12/2006 19:31 <REP> Windows Media Connect 2
    29/12/2006 22:19 <REP> Windows Media Player
    31/07/2006 14:57 <REP> Windows NT
    21/12/2006 17:43 <REP> WinRAR
    31/07/2006 15:02 <REP> xerox
    11/12/2006 20:47 <REP> Yahoo!
    04/03/2007 15:42 <REP> Zone Labs
    0 fichier(s) 0 octets
    55 R‚p(s) 16ÿ151ÿ642ÿ112 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    perso.orange.fr REG_BINARY
    dns-look-up.com REG_SZ
    www.dns-look-up.com REG_SZ
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    www.funradio.fr REG_BINARY
    www.01net.com REG_BINARY
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ******************************************
    ## Registre

    * [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
    Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

    * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Soapbluereadmeaxis REG_SZ C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe
    TrueImage Monitor REG_SZ "C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe"

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Amen Cool REG_SZ C:\DOCUME~1\sabinou\APPLIC~1\STYLEA~1\five that.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  12. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Bonjour,

    Désinstalle SpyErazer.

    Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

    1/Telecharge ceci: Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci à Balltrap34).
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    Déconnecte toi d'Internet et ferme tout les programmes en cours.

    Redémarre en mode sans échec
    Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.
    (Si F8 ne marche pas, essai F5)

    Rend visible les fichiers cachés et système
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur [Appliquer] puis sur [ok] pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKLM\..\Run: [Soapbluereadmeaxis] C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe

    O4 - HKLM\..\Run: [PCDAS] C:\Program Files\SpyErazer\pcd-as.exe /10003
    O4 - HKCU\..\Run: [Amen Cool] C:\DOCUME~1\sabinou\APPLIC~1\STYLEA~1\five that.exe

    valider en cliquant sur le bouton [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime ces dossiers:

    Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\Documents and Settings\All Users\Application Data\16 gram soap blue

    C:\Program Files\SpyErazer

    C:\Program Files\style active math

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite fais Démarrer > exécuter et tape cmd
    puis valide avec ok

    dans la fenêtre qui va s'ouvrir, copie et colle ceci:

    del /a C:\WINDOWS\tasks\AAEDEBA5918A629D.job

    et valide en appuyant sur entrée

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, très important:

    :: Supprimer les fichiers temporaires ::

    Exécute cleanup40.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Redémarre normalement et reposte un Hijackthis sur le poste…

    Précises moi ou en sont tes soucis…

    A+
    0
  13. pierre
     
    le moyen le plus simple ,c'est d'aller dans programes files,d'ouvrir cette saleté de messenger skinner,de cliquer sur l'icône uninstall barrée d'une croix rouge et le tour est joué.

    Garantie absolument vrai je l'ai fais sur ma bécane,et bitdefender ne le detecte plus et il n'est plus nulle part
    0
  14. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut Pierre;

    Crée ton propre poste et on va vérifier si il ne reste plus rien ;)

    A+
    0
  15. andro sabrina
     
    Re,

    J'espere que j'ai bien fais tt ce que tu m'a demander ( pr cmd, ce qu'il fallait copier ne marchai pa par contre)

    Merci bcp de ton aide

    Voici l'Hijack :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:33:43, on 05/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
    C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
    C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
    C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [TrueImage Monitor] "C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [VirusKeeper] F:\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
    O4 - Global Startup: BlueSoleil.lnk = ?
    O4 - Global Startup: Bootvis.lnk = F:\BootVisfr\Bootvis_Sleep.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://bitdefender.solutions-antivirus.com/scan8/oscan8.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  16. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Ou en sont tes soucis?

    A+
    0
  17. Andro sabrina
     
    Salut, voici le dernier scan que j'ai fait avec bitdefender en ligne, il a encore trouvé les virus trojan et backdoor, j'espere qu'il sont bien supprimer.

    BitDefender Online Scanner

    Rapport d'analyse généré à: Tue, Mar 06, 2007 - 11:27:15

    Voie d'analyse: A:\;C:\;D:\;E:\;

    Statistiques

    Temps

    00:27:14

    Fichiers

    181653

    Directoires

    3448

    Secteurs de boot

    3

    Archives

    977

    Paquets programmes

    4406

    Résultats

    Virus identifiés

    2

    Fichiers infectés

    2

    Fichiers suspects

    0

    Avertissements

    0

    Désinfectés

    0

    Fichiers effacés

    2

    Info sur les moteurs

    Définition virus

    402930

    Version des moteurs

    AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

    Analyse des plugins

    14

    Archive des plugins

    38

    Unpack des plugins

    6

    E-mail plugins

    6

    Système plugins

    1

    Paramètres d'analyse

    Première action

    Désinfecté

    Seconde Action

    Supprimé

    Heuristique

    Oui

    Acceptez les avertissements

    Oui

    Extensions analysées

    *;

    Excludez les extensions

    Analyse d'emails

    Oui

    Analyse des Archives

    Oui

    Analyser paquets programmes

    Oui

    Analyse des fichiers

    Oui

    Analyse de boot

    Oui

    Fichier analysé

    Statut

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009

    Infecté par: Backdoor.Skinymes.Agent.A

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009

    Supprimé

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)

    Echec de la mise à jour

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP238\A0077061.exe

    Infecté par: Trojan.FatObfus.Gen

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP238\A0077061.exe

    Echec de la désinfection

    C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP238\A0077061.exe

    Supprimé
    0
  18. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Rassures toi, ils sont inactifs.
    C'est un point de restauration infecté, mais elle est inactive.

    Ou en sont tes soucis?

    A+
    0
  19. Andro sabrina
     
    Ba je pense que je n'est plus de soucis alors s'il sont inactifs. Merci de m'avoir aider.
    0
  20. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    Content pour toi.

    Bonne continuation,

    A+
    0
  21. not
     
    Bonjour! Après avoir suivi la première procédure avec navilog1, voici le résultat du rapport :

    Search Navipromo version 1.0.7 commencé le 15/03/2007 à 22:36:09,53

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Documents and Settings\NoT\Bureau\navilog
    Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\NoT\Application Data ***

    ...\Application Data\MessengerSkinner trouvé !

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    Fichier(s) caché(s) dans C:\WINDOWS\system32 :

    c:\WINDOWS\system32\esbcqd.dat
    C:\windows\system32\esbcqd.exe
    c:\WINDOWS\system32\esbcqd_nav.dat
    c:\WINDOWS\system32\esbcqd_navps.dat

    Processus caché(s) dans C:\WINDOWS\system32 :

    C:\windows\system32\esbcqd.exe

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !
    C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf trouvé !
    C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-3A59B583.pf trouvé !

    *** Recherche cles registre ***

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\esbcqd.dat trouvé !
    **
    C:\WINDOWS\system32\esbcqd.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\esbcqd_navps.dat trouvé !
    *****
    ******
    *******
    ********
    C:\WINDOWS\system32\esbcqd.exe trouvé !

    *** Analyse Terminé le 15/03/2007 à 22:38:44,10 ***
    0
  • 1
  • 2
  • 3