Sujet Précédent Sujet Suivant

[virus] messenger skinner

Fermé
ANDRO Sabrina - 2 mars 2007 à 11:31
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 20 mars 2007 à 22:16
Bonjour, j'ai un probleme avec skinner je l'ai supprimer et les scans en ligne me le detecte toujours, infectés par des backdoors et trojans. Pourriez-vous m'aidez a supprimer skinner correctement SVP? Merci
A voir également:

49 réponses

Réponse 1 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
2 mars 2007 à 11:48
Salut,

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 2 / 49
ANDRO Sabrina
2 mars 2007 à 15:12
Voici ce que tu m'a demander :
merci de ton aide



Search Navipromo version 1.0.4 commencé le 02/03/2007 à 15:02:55,50

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\sabinou\Bureau\navilog1
Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\sabinou\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\ubpwlsanub.dat
C:\windows\system32\ubpwlsanub.exe
c:\WINDOWS\system32\ubpwlsanub_nav.dat
c:\WINDOWS\system32\ubpwlsanub_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\ubpwlsanub.exe


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1454471165-1801674531-839522115-1004\Software\Lanconfig trouvé !


*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche nouveaux fichiers connus:

C:\WINDOWS\pack.epk trouvé !

2)Recherche Heuristique :
(fichiers non traités par le fix)
*
**
***
****


*** Analyse Terminé le 02/03/2007 à 15:08:00,29 ***
0
Réponse 3 / 49
ANDRO Sabrina
2 mars 2007 à 15:17
j'ai aussi bcp de fenetres de pub (casinos et compagnie...)qui s'ouvrent qd je me connecte, c'est très agacant.
0
Réponse 4 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
3 mars 2007 à 11:22
Salut,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

Double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 2 et valides.
Indique le mode de nettoyage "automatique"
Laisses toi guider et réponds aux questions éventuelles
Ton bureau va disparaitre, c'est normal.
Patientes jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le blocnote. Ton bureau va réapparaitre
Redémarres normalement et copies-colles l'intégralité dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 49
andro sabrina
4 mars 2007 à 15:21
Bonjour,

Voici le résultat de ce que tu m'a demander.
Désolée pr le retard



Clean Navipromo version 1.0.4 commencé le 04/03/2007 à 15:13:47,37

Fix lancé depuis C:\Documents and Settings\sabinou\Bureau\navilog1
Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression automatique avec prise en charge résultats Blacklight

*** Creation backups fichiers scan Blbeta ***

Copie vers "C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blbeta ***

c:\WINDOWS\system32\ubpwlsanub.dat supprimé !
C:\windows\system32\ubpwlsanub.exe supprimé !
c:\WINDOWS\system32\ubpwlsanub_nav.dat supprimé !
c:\WINDOWS\system32\ubpwlsanub_navps.dat supprimé !

** 2ème passage **


C:\WINDOWS\prefetch\ubpwlsanub*.pf trouvé !
Copie C:\WINDOWS\prefetch\ubpwlsanub*.pf réalisé avec succès !
C:\WINDOWS\prefetch\ubpwlsanub*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\sabinou\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\sabinou\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalisée avec succès !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

1)Recherche/Suppressions nouveaux fichiers connus:

C:\WINDOWS\pack.epk trouvé !
Copie C:\WINDOWS\pack.epk réalisé avec succès !
C:\WINDOWS\pack.epk supprimé !

2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):
*
**
***
****

*** Nettoyage termine le 04/03/2007 à 15:14:30,10 ***
0
Réponse 6 / 49
andro sabrina
4 mars 2007 à 17:49
re, sinon quand je fais un scan en ligne avec bitdefender il me trouve toujours les memes virus et n'arrive pas a les supprimer apparement parce que il revienne toujours, je comprend pas, que dois-je faire? Voici le rapport : BitDefender Online Scanner







Rapport d'analyse généré à: Sun, Mar 04, 2007 - 17:35:19









Voie d'analyse: A:\;C:\;D:\;E:\;















Statistiques

Temps


00:30:37

Fichiers


192214

Directoires


3463

Secteurs de boot


3

Archives


1089

Paquets programmes


6935







Résultats

Virus identifiés


2

Fichiers infectés


11

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


10







Info sur les moteurs

Définition virus


402580

Version des moteurs


AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Analyse des plugins


14

Archive des plugins


38

Unpack des plugins


6

E-mail plugins


6

Système plugins


1







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


*;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe


Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe


Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe


Echec de la suppression

C:\Documents and Settings\sabinou\Application Data\style active math\five that.exe


Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\sabinou\Application Data\style active math\five that.exe


Echec de la désinfection

C:\Documents and Settings\sabinou\Application Data\style active math\five that.exe


Supprimé

C:\Documents and Settings\sabinou\Application Data\style active math\Tons Info Else.exe


Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\sabinou\Application Data\style active math\Tons Info Else.exe


Echec de la désinfection

C:\Documents and Settings\sabinou\Application Data\style active math\Tons Info Else.exe


Supprimé

C:\Documents and Settings\sabinou\Application Data\style active math\Vga One Soap Trans.exe


Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\sabinou\Application Data\style active math\Vga One Soap Trans.exe


Echec de la désinfection

C:\Documents and Settings\sabinou\Application Data\style active math\Vga One Soap Trans.exe


Supprimé

C:\Documents and Settings\sabinou\Application Data\style active math\yegeqzuw.exe


Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\sabinou\Application Data\style active math\yegeqzuw.exe


Echec de la désinfection

C:\Documents and Settings\sabinou\Application Data\style active math\yegeqzuw.exe


Supprimé

C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009


Infecté par: Backdoor.Skinymes.Agent.A

C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009


Echec de la désinfection

C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009


Supprimé

C:\Documents and Settings\sabinou\Bureau\navilog1\Backupnavi\pack.epk=>(NSIS 2g)


Echec de la mise à jour

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009


Infecté par: Backdoor.Skinymes.Agent.A

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009


Supprimé

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)


Echec de la mise à jour

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076896.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076896.exe


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076896.exe


Supprimé

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076897.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076897.exe


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076897.exe


Supprimé

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076898.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076898.exe


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076898.exe


Supprimé

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076899.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076899.exe


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP236\A0076899.exe


Supprimé


Merci.
0
Réponse 7 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
4 mars 2007 à 19:21
Salut,

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+
0
Réponse 8 / 49
Andro Sabrina
5 mars 2007 à 11:39
Re,
Voila ce que tu ma demander de faire :


Logfile of HijackThis v1.99.1
Scan saved at 11:39:56, on 05/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\SpyErazer\pcd-as.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Soapbluereadmeaxis] C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe
O4 - HKLM\..\Run: [TrueImage Monitor] "C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirusKeeper] F:\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCDAS] C:\Program Files\SpyErazer\pcd-as.exe /10003
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Amen Cool] C:\DOCUME~1\sabinou\APPLIC~1\STYLEA~1\five that.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Bootvis.lnk = F:\BootVisfr\Bootvis_Sleep.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://bitdefender.solutions-antivirus.com/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 9 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 mars 2007 à 12:06
Re,

Tu es infectée par lop.

Télécharge LopxpMH sur ton Bureau.

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

A+
0
Réponse 10 / 49
Andro Sabrina
5 mars 2007 à 13:33
Voila le rapport :


Rapport fait à 13:37:52,67 le 05/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\All Users\Application Data

31/07/2006 16:49 <REP> .
31/07/2006 16:49 <REP> ..
13/12/2006 12:27 <REP> 16 gram soap blue
08/10/2006 09:39 <REP> Apple Computer
21/08/2006 13:46 <REP> Bluetooth
18/01/2007 11:05 <REP> Google
20/08/2006 19:17 <REP> McAfee.com
20/08/2006 19:19 <REP> McAfee.com Personal Firewall
31/07/2006 16:49 <REP> Microsoft
15/11/2006 18:23 <REP> Spybot - Search & Destroy
31/10/2006 13:37 <REP> Windows Genuine Advantage
22/08/2006 21:22 <REP> Windows Live Toolbar
04/03/2007 14:16 3ÿ120 118300.34
31/07/2006 16:49 62 desktop.ini
11/12/2006 20:47 1ÿ755 QTSBandwidthCache
3 fichier(s) 4ÿ937 octets
12 R‚p(s) 16ÿ151ÿ662ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\Default User\Application Data

31/07/2006 16:49 <REP> .
31/07/2006 16:49 <REP> ..
31/07/2006 16:49 <REP> Microsoft
31/07/2006 16:49 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

31/07/2006 16:49 <REP> .
31/07/2006 16:49 <REP> ..
31/07/2006 15:01 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

31/07/2006 15:08 <REP> .
31/07/2006 15:08 <REP> ..
01/03/2007 20:12 <REP> Google
20/08/2006 19:19 <REP> McAfee.com Personal Firewall
31/07/2006 15:08 <REP> Microsoft
0 fichier(s) 0 octets
5 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

31/07/2006 15:08 <REP> .
31/07/2006 15:08 <REP> ..
01/03/2007 20:12 <REP> Google
31/07/2006 15:08 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

31/07/2006 15:05 <REP> .
31/07/2006 15:05 <REP> ..
31/07/2006 15:05 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

31/07/2006 15:05 <REP> .
31/07/2006 15:05 <REP> ..
31/07/2006 15:05 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 16ÿ151ÿ650ÿ304 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\sabinou\Application Data

31/07/2006 15:09 <REP> .
31/07/2006 15:09 <REP> ..
08/10/2006 09:51 <REP> Apple Computer
04/03/2007 12:35 <REP> Bitdefender
18/01/2007 11:03 <REP> Google
21/08/2006 14:07 <REP> Help
31/07/2006 15:09 <REP> Identities
21/08/2006 14:00 <REP> InterVideo
15/11/2006 22:07 <REP> Lavasoft
21/08/2006 13:20 <REP> LimeWire
19/08/2006 14:30 <REP> Macromedia
20/08/2006 19:19 <REP> McAfee.com Personal Firewall
21/08/2006 15:20 <REP> Media Player Classic
29/12/2006 14:33 <REP> Micro Application
31/07/2006 15:09 <REP> Microsoft
04/03/2007 15:26 <REP> Mozilla
27/02/2007 20:49 <REP> OpenOffice.org2
19/01/2007 16:14 <REP> Samsung
13/12/2006 12:26 <REP> style active math
19/12/2006 13:10 <REP> Sun
04/03/2007 15:27 <REP> Talkback
31/07/2006 15:09 62 desktop.ini
1 fichier(s) 62 octets
21 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Documents and Settings\sabinou\Local Settings\Application Data

31/07/2006 15:09 <REP> .
31/07/2006 15:09 <REP> ..
21/08/2006 13:14 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150030}
08/10/2006 09:51 <REP> Apple Computer
18/01/2007 11:25 <REP> Google
21/08/2006 14:07 <REP> Help
24/08/2006 16:26 <REP> Identities
31/07/2006 15:09 <REP> Microsoft
04/03/2007 15:26 <REP> Mozilla
18/01/2007 12:56 <REP> WMTools Downloaded Files
27/08/2006 17:33 12ÿ288 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
19/08/2006 15:01 14ÿ304 GDIPFONTCACHEV1.DAT
31/07/2006 15:48 4ÿ824ÿ778 IconCache.db
3 fichier(s) 4ÿ851ÿ370 octets
10 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

31/07/2006 15:04 <REP> .
31/07/2006 15:04 <REP> ..
31/07/2006 15:04 <REP> Microsoft
31/07/2006 15:04 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

31/07/2006 15:04 <REP> .
31/07/2006 15:04 <REP> ..
31/07/2006 15:04 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\WINDOWS\Tasks

02/03/2007 12:07 272 AAEDEBA5918A629D.job
14/02/2007 19:19 284 AppleSoftwareUpdate.job
31/07/2006 15:08 6 SA.DAT
31/07/2006 14:59 65 desktop.ini
31/07/2006 14:59 <REP> ..
31/07/2006 14:59 <REP> .
4 fichier(s) 627 octets
2 R‚p(s) 16ÿ151ÿ646ÿ208 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 2C96-D595

R‚pertoire de C:\Program Files

04/03/2007 18:05 <REP> .
04/03/2007 18:05 <REP> ..
04/03/2007 13:26 <REP> Alwil Software
14/02/2007 19:19 <REP> Apple Software Update
04/03/2007 16:45 <REP> a-squared Free
31/07/2006 15:14 <REP> ASUS
31/07/2006 14:58 <REP> ComPlus Applications
31/07/2006 15:17 <REP> Creative
01/11/2006 10:36 <REP> DirectX
10/09/2006 17:22 <REP> DJ Mix Pro
04/03/2007 12:20 <REP> Fichiers communs
26/01/2007 16:22 <REP> Google
29/12/2006 22:22 <REP> Handset Manager
05/03/2007 11:37 <REP> Hijackthis Version Fran‡aise
18/02/2007 20:48 <REP> Internet Explorer
03/11/2006 18:10 <REP> InterVideo
21/08/2006 13:30 <REP> IVT Corporation
18/01/2007 11:03 <REP> Java
15/11/2006 22:05 <REP> Lavasoft
21/08/2006 13:15 <REP> LimeWire
02/03/2007 12:06 <REP> Messenger Plus! Live
17/01/2007 19:38 <REP> Micro Application
31/07/2006 15:02 <REP> microsoft frontpage
18/01/2007 12:57 <REP> MixVibes6
31/07/2006 14:59 <REP> Movie Maker
05/03/2007 13:32 <REP> Mozilla Firefox
31/07/2006 14:57 <REP> MSN Gaming Zone
04/03/2007 12:08 <REP> MSN Messenger
15/11/2006 22:14 <REP> MSXML 4.0
28/12/2006 13:38 <REP> Multimedia Mouse Driver
13/11/2006 22:12 <REP> NETGEAR
31/07/2006 14:59 <REP> NetMeeting
29/12/2006 13:55 <REP> Office Mouse Driver
31/07/2006 14:57 <REP> Online Services
27/02/2007 20:46 <REP> OpenOffice.org 2.1
16/12/2006 03:00 <REP> Outlook Express
21/02/2007 17:14 <REP> PhotoFiltre
08/01/2007 15:04 <REP> QuickTime
29/08/2006 12:30 <REP> Samsung
19/08/2006 14:19 <REP> Securitoo
31/07/2006 15:00 <REP> Services en ligne
04/03/2007 12:21 <REP> Softwin
04/03/2007 14:26 <REP> SpyErazer
02/03/2007 12:07 <REP> style active math
02/03/2007 13:09 <REP> VirusKeeper 2007 Pro Evaluation
24/08/2006 16:30 <REP> Wanadoo
17/01/2007 19:39 <REP> Web Media Player
20/02/2007 20:11 <REP> Windows Live Safety Center
21/12/2006 19:31 <REP> Windows Media Connect 2
29/12/2006 22:19 <REP> Windows Media Player
31/07/2006 14:57 <REP> Windows NT
21/12/2006 17:43 <REP> WinRAR
31/07/2006 15:02 <REP> xerox
11/12/2006 20:47 <REP> Yahoo!
04/03/2007 15:42 <REP> Zone Labs
0 fichier(s) 0 octets
55 R‚p(s) 16ÿ151ÿ642ÿ112 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
perso.orange.fr REG_BINARY
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
www.funradio.fr REG_BINARY
www.01net.com REG_BINARY
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Soapbluereadmeaxis REG_SZ C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe
TrueImage Monitor REG_SZ "C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe"

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Amen Cool REG_SZ C:\DOCUME~1\sabinou\APPLIC~1\STYLEA~1\five that.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 11 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 mars 2007 à 17:06
Bonjour,

Désinstalle SpyErazer.

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

Déconnecte toi d'Internet et ferme tout les programmes en cours.

 Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

 Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Soapbluereadmeaxis] C:\Documents and Settings\All Users\Application Data\16 gram soap blue\hideskip.exe

O4 - HKLM\..\Run: [PCDAS] C:\Program Files\SpyErazer\pcd-as.exe /10003
O4 - HKCU\..\Run: [Amen Cool] C:\DOCUME~1\sabinou\APPLIC~1\STYLEA~1\five that.exe

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\All Users\Application Data\16 gram soap blue

C:\Program Files\SpyErazer

C:\Program Files\style active math

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\AAEDEBA5918A629D.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Exécute cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

Précises moi ou en sont tes soucis…

A+
0
Réponse 12 / 49
pierre
5 mars 2007 à 17:48
le moyen le plus simple ,c'est d'aller dans programes files,d'ouvrir cette saleté de messenger skinner,de cliquer sur l'icône uninstall barrée d'une croix rouge et le tour est joué.

Garantie absolument vrai je l'ai fais sur ma bécane,et bitdefender ne le detecte plus et il n'est plus nulle part
0
Réponse 13 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 mars 2007 à 18:02
Salut Pierre;

Crée ton propre poste et on va vérifier si il ne reste plus rien ;)

A+
0
Réponse 14 / 49
andro sabrina
5 mars 2007 à 18:42
Re,

J'espere que j'ai bien fais tt ce que tu m'a demander ( pr cmd, ce qu'il fallait copier ne marchai pa par contre)

Merci bcp de ton aide

Voici l'Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 18:33:43, on 05/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Program Files\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TrueImage Monitor] "C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirusKeeper] F:\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Bootvis.lnk = F:\BootVisfr\Bootvis_Sleep.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - https://bitdefender.solutions-antivirus.com/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4941/mcfscan.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 15 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 mars 2007 à 18:59
Salut

Ou en sont tes soucis?

A+
0
Réponse 16 / 49
Andro sabrina
6 mars 2007 à 11:30
Salut, voici le dernier scan que j'ai fait avec bitdefender en ligne, il a encore trouvé les virus trojan et backdoor, j'espere qu'il sont bien supprimer.


BitDefender Online Scanner







Rapport d'analyse généré à: Tue, Mar 06, 2007 - 11:27:15









Voie d'analyse: A:\;C:\;D:\;E:\;















Statistiques

Temps


00:27:14

Fichiers


181653

Directoires


3448

Secteurs de boot


3

Archives


977

Paquets programmes


4406







Résultats

Virus identifiés


2

Fichiers infectés


2

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


2







Info sur les moteurs

Définition virus


402930

Version des moteurs


AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Analyse des plugins


14

Archive des plugins


38

Unpack des plugins


6

E-mail plugins


6

Système plugins


1







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


*;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009


Infecté par: Backdoor.Skinymes.Agent.A

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)=>lzma_solid_nsis0009


Supprimé

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP227\A0076345.exe=>(NSIS o)


Echec de la mise à jour

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP238\A0077061.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP238\A0077061.exe


Echec de la désinfection

C:\System Volume Information\_restore{EC72AAE3-F8E9-4A7D-AA21-81BF7D1A77F6}\RP238\A0077061.exe


Supprimé
0
Réponse 17 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
6 mars 2007 à 11:31
Salut

Rassures toi, ils sont inactifs.
C'est un point de restauration infecté, mais elle est inactive.

Ou en sont tes soucis?

A+
0
Réponse 18 / 49
Andro sabrina
6 mars 2007 à 13:29
Ba je pense que je n'est plus de soucis alors s'il sont inactifs. Merci de m'avoir aider.
0
Réponse 19 / 49
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
6 mars 2007 à 13:51
Salut,

Content pour toi.

Bonne continuation,

A+
0
Réponse 20 / 49
not
15 mars 2007 à 22:41
Bonjour! Après avoir suivi la première procédure avec navilog1, voici le résultat du rapport :

Search Navipromo version 1.0.7 commencé le 15/03/2007 à 22:36:09,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\NoT\Bureau\navilog
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\NoT\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\esbcqd.dat
C:\windows\system32\esbcqd.exe
c:\WINDOWS\system32\esbcqd_nav.dat
c:\WINDOWS\system32\esbcqd_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\esbcqd.exe


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-3A59B583.pf trouvé !


*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\esbcqd.dat trouvé !
**
C:\WINDOWS\system32\esbcqd.dat trouvé !
***
****
C:\WINDOWS\system32\esbcqd_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\esbcqd.exe trouvé !


*** Analyse Terminé le 15/03/2007 à 22:38:44,10 ***
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Mettre Facebook Messenger en français
bleumarine2009 -
lauredine61 -

1 réponse
On me voit connecté sur facebook alors que je n'y suis pas
MrTheMolode -
lily -

5 réponses
Impossible de télécharger photos messenger
Morgane -
Utilisateur anonyme -

1 réponse
Comment supprimer une conversation Messenger pour les 2 personnes ?
mercidemaider -
sd -

7 réponses