Virus audio;ya.com

Résolu
hemsou Messages postés 18 Statut Membre -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonsoir
J'ai un problème de virus sur windowslive messenger, il s'agit de audio.ya.com/topflog. J'ai telechargé hijackthis dont voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 19:52:42, on 17/03/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Real\RealJukebox\tsystray.exe
C:\Program Files\Real\RealPlayer\realplay.exe
C:\Program Files\Winamp3\winampa.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\ying.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\souad\Local Settings\Temp\Répertoire temporaire 1 pour hij.exe.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.menara.ma/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/getwinamp/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RealJukeboxSystray] "C:\Program Files\Real\RealJukebox\tsystray.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\ying.exe
O4 - HKLM\..\Run: [GbpSvc] C:\Arquivos de programas\GbpSvc.exe
O4 - HKLM\..\Run: [ying] C:\WINDOWS\ying.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: RealDownload.lnk = C:\Program Files\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd2d894676dd4960b6670203c4af49fa
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd2d894676dd4960b6670203c4af49fa
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Abonnés - {853BF2FB-9373-4300-BC3D-C4170C4E5F4A} - http://abonne.menara.ma (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.menara.ma/
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4736CD67-11D5-4ACC-B303-D58F16A124A7}: NameServer = 212.217.0.3 196.217.246.210
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Je souhaiterai votre aide pour m'en débarasser. Merci à l'avance.
Configuration: Windows XP
Internet Explorer 6.0

36 réponses

  • 1
  • 2
Résumé de la discussion

Une infection virale est suspectée autour de Windows Live Messenger, associée à l'adresse audio.ya.com/topflog, et les rapports HijackThis montrent de multiples entrées suspectes et des processus système au démarrage. Des solutions évoquées incluent l'auto-fix avec HaxFix et la soumission des rapports HijackThis, ainsi que MSN Fix et BlackLight pour identifier et supprimer les composants malveillants. Plusieurs éléments identifiés au démarrage, comme ying.exe et scsi2usb.dll, ainsi que des modules liés à des suites internet, soulignent la nécessité d'un nettoyage et d'une remise à plat du système. En cas de doute, les éléments indiquent que le serveur DNS peut être modifié, avec les adresses 212.217.0.3 et 196.217.246.210, reflétant une compromission locale des paramètres réseau.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    Télécharge BankerFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/BankerFix.zip

    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier Banker_BanloadFix.bat.
    - Executez l'option R.
    -- Si l'infection est détectée, éxecutez l'option N.
    --- Sauvegardez ce rapport puis faites un copier/coller de ce rapport sur le forum.
    0
    1. hemsou Messages postés 18 Statut Membre
       
      Bonjour merci de votre réponse, j'ai fait ce que vous m'avez conseillé, voila le rapport MSnfix:
      MSN_Fix 1.01

      C:\Program Files\MSNFix\MSNFix
      Fix exécuté le 18/03/2007 à 11:36:18,48 par souad
      mode normal

      ************************ Recherche les fichiers présents

      ... C:\WINDOWS\ying.exe
      ... C:\WINDOWS\Cursors\yong.exe
      ... C:\WINDOWS\Cursors\GbpSvc.exe
      ... C:\DOCUME~1\souad\LOCALS~1\Temp\svchost.exe

      ************************ Recherche les dossiers présents

      Aucun dossier trouvé


      ************************ Exécutable dans le dossier C:\WINDOWS\Cursors\

      /!\ ces fichiers ne sont pas obligatoirement infectieux et necessitent un avis expérimenté avant toute intervention.

      C:\WINDOWS\Cursors\GbpSvc.exe
      C:\WINDOWS\Cursors\yong.exe

      Terminé **********




      ------------------------------------------------------------------------
      Auteur: !aur3n7 Contact: http://lyonnais92.aceboard.fr
      ------------------------------------------------------------------------
      Et le nouveau rapport hijackthis:Logfile of HijackThis v1.99.1
      Scan saved at 11:40:03, on 18/03/2007
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\PAStiSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\Mixer.exe
      C:\Program Files\Real\RealJukebox\tsystray.exe
      C:\Program Files\Real\RealPlayer\realplay.exe
      C:\Program Files\Winamp3\winampa.exe
      C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
      C:\WINDOWS\ying.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
      C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
      C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\notepad.exe
      C:\Documents and Settings\souad\Local Settings\Temp\Répertoire temporaire 2 pour hij.exe.zip\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.menara.ma/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/getwinamp/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Menara
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
      O4 - HKLM\..\Run: [RealJukeboxSystray] "C:\Program Files\Real\RealJukebox\tsystray.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
      O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
      O4 - HKLM\..\Run: [svchost] C:\WINDOWS\ying.exe
      O4 - HKLM\..\Run: [GbpSvc] C:\Arquivos de programas\GbpSvc.exe
      O4 - HKLM\..\Run: [ying] C:\WINDOWS\ying.exe
      O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Picture Package Menu.lnk = ?
      O4 - Global Startup: Picture Package VCD Maker.lnk = ?
      O4 - Global Startup: RealDownload.lnk = C:\Program Files\Real\RealDownload\Realdownload.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd2d894676dd4960b6670203c4af49fa
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd2d894676dd4960b6670203c4af49fa
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: Abonnés - {853BF2FB-9373-4300-BC3D-C4170C4E5F4A} - http://abonne.menara.ma (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=https://www.menara.ma/
      O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4736CD67-11D5-4ACC-B303-D58F16A124A7}: NameServer = 212.217.0.3 196.217.246.210
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

      Merci encore. J'attend votre réponse.
      0
    2. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > hemsou Messages postés 18 Statut Membre
       
      Bonjour,

      as tu eu besoin de faire cette action ?
      Si l'infection est détectée, exécutes l'option N. 


      0
    3. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      Non il ne m'a pas proposé N. Et j'aitoujours ce virus. Merci de votre intérêt.
      0
    4. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > hemsou Messages postés 18 Statut Membre
       
      je m'en doute qu'il est toujours là, puisqu'il n'a pas été supprimé.
      Ce que je ne comprends pas c'est le pourquoi

      je retire ce que j'ai mis, suis les instructions de zBr poste 13 stp

      (merci d'être venu à la rescousse. :) )
      tu vois il me semblait hier que j'aurais besoin de tes services.

      0
    5. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      ok merci quand même
      0
  2. zBr
     
    Salut Hemsou

    Télécharge MSNFix.zip de !aur3n7 sur le bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le (clic droit >> Extraire tout) et double clique sur le fichier MSNFix.bat.
    - Choisis l'option R.
    - Si l'infection est détectée, exécutes l'option N.

    Sauvegarde le rapport puis fais un copier/coller de ce rapport sur le forum, ainsi qu'un nouveau scan HijackThis.

    a+
    0
    1. hemsou Messages postés 18 Statut Membre
       
      Merci de votre réponse. J'ai envoyé le nouveau rapport.
      0
  3. zBr
     
    Oups !
    Désolé Philae j'avais pas vu ton intervention !

    PS:
    le lien du fix a changé :-)

    a++
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      pas grave,tu peux prendre le topic si tu veux
      et, je crois que le lien abouti à une page 404

      connais tu un autre lien de téléchargement zBr stp ?
      0
  4. zBr
     
    La nouvelle url du fix est celle-ci:
    http://sosvirus.changelog.fr/MSNFix.zip
    Bankerfix est devenu maintenant MSNFix.

    T'étais là en premier, donc vas-y continue-le :-)

    a+
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      merci, je ne connaissais pas. Tu surveilleras alors....si je sèche, tu viendras aider. Merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. zBr
     
    Promis je viendrais jeter un oeil, mais je pense que tu ne devrais pas rencontrer de problèmes particuliers :-)

    Pour le fix, le nom a changé mais l'utilisation reste la même pour l'instant que pour BankerFix et si tu l'as déjà fais utiliser tu ne devrais pas être dépaysée :-)
    A un détail près, certaines variantes de cette infection necessitent une execution du fix impérativement en mode sans echec.
    L'utilisateur en est averti et est invité à relancer le fix en sans echec, l'option N (nettoyage), et seulement dans le cas ou ces variantes sont rencontrées, ne sera donc pas disponible en mode normal.
    Voilà pour la petite différence... dont tu n'auras pas utilité sur ce log ;-)

    a++
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      Merci pour tes précisions. Bonne soirée
      0
  7. zBr
     
    Salut Philae, hemsou

    MSNFix a un petit soucis de codage suite à l'ajout dans les maj d'une nouvelle variante et qui bloque actuellement l'exécution de l'option N.
    Petit désagrément qui ne va pas tarder à être résolu par son auteur, dès que possible.

    En attendant la nouvelle maj de MSNFix, Hemsou, télécharge ceci sur ton bureau
    Decompresses yingfix.zip et lance yingfix.bat
    Quant il aura fini son job, copie et colle le contenu du rapport qui va s'afficher dans le bloc note.
    Puis reposte un hijackthis.

    a++
    0
    1. hemsou Messages postés 18 Statut Membre
       
      Bonjour zBr, voilà les rapports ying et hijackthis:

      Exécuté dans : C:\

      Fichiers supprimés:


      C:\WINDOWS\ying.exe
      C:\WINDOWS\Cursors\GbpSvc.exe
      C:\WINDOWS\Cursors\yong.exe
      C:\WINDOWS\Prefetch\FLASH_PLAYER_INSTALL.EXE-*.pf
      C:\WINDOWS\Prefetch\YONG.EXE-*.pf
      C:\WINDOWS\Prefetch\YING.EXE-*.pf
      C:\DOCUME~1\souad\LOCALS~1\Temp\*.exe
      C:\DOCUME~1\souad\LOCALS~1\Temp\*.zip Suppression impossible...

      Dossiers supprimés:


      Logfile of HijackThis v1.99.1
      Scan saved at 18:05:28, on 18/03/2007
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\PAStiSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\Mixer.exe
      C:\Program Files\Real\RealJukebox\tsystray.exe
      C:\Program Files\Real\RealPlayer\realplay.exe
      C:\Program Files\Winamp3\winampa.exe
      C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
      C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
      C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
      C:\Program Files\MSN Messenger\usnsvc.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\WINDOWS\system32\notepad.exe
      C:\Documents and Settings\souad\Local Settings\Temp\Répertoire temporaire 3 pour hij.exe.zip\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.menara.ma/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/getwinamp/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Menara
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
      O4 - HKLM\..\Run: [RealJukeboxSystray] "C:\Program Files\Real\RealJukebox\tsystray.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
      O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
      O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Picture Package Menu.lnk = ?
      O4 - Global Startup: Picture Package VCD Maker.lnk = ?
      O4 - Global Startup: RealDownload.lnk = C:\Program Files\Real\RealDownload\Realdownload.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd2d894676dd4960b6670203c4af49fa
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd2d894676dd4960b6670203c4af49fa
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: Abonnés - {853BF2FB-9373-4300-BC3D-C4170C4E5F4A} - http://abonne.menara.ma (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=https://www.menara.ma/
      O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4736CD67-11D5-4ACC-B303-D58F16A124A7}: NameServer = 212.217.0.3 196.217.246.210
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

      En esperant que cette fois ça marchera . Merci de continuer à me répondre.
      0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    cette fois, ça a fonctionné

    ré installe hijackthis correctement, il ne doit pas être dans les fichiers temporaires. Les backups pourraient être inutilisables.

    lance hijackthis "do a system scan only" puis coche

    O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    * ferme toutes les applications ouvertes y compris Internet Explorer et clique sur fixer objet

    puis * Assure toi d'avoir accès à tous les fichiers

    -démarrer

    -poste de travail ou autre dossier

    -menu outils

    -options de dossier

    -onglet affichage

    puis

    - activer la case : Afficher les fichiers et dossiers cachés

    - désactiver la case : Masquer les extensions des fichiers dont le type est connu

    - désactiver la case : Masquer les fichier protégés du système d'exploitation

    Puis - Appliquer

    * et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

    C:\WINDOWS\web\related.htm

    rend toi sur VIRUSTOTAL pour faire analyser

    C:\WINDOWS\SYSTEM32\scsi2usb.dll

    http://www.virustotal.com/en/indexf.html

    * Colle dans la case à gauche de "parcourir" :

    * clique ensuite sur "send". Il faut patienter car tu es sur une file d'attente.
    Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

    Dépose le dans ta réponse.
    0
    1. hemsou Messages postés 18 Statut Membre
       
      Désolée de te déranger à nouveau, j'ai suivi la procédure, j'ai supprimer le dossier c:\windows\web\related.htm mais je n'ai pas de dossier c:\windows\system32\sci2usb.dll, en tout cas je ne l'ai pas trouvé. merci de votre patience.
      0
      1. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > hemsou Messages postés 18 Statut Membre
         
        re

        c:\windows\system32\sci2usb.dll, en tout cas je ne l'ai pas trouvé. merci de votre patience.

        as tu affiché les fichiers et dossiers cachés ?
        * Assure toi d'avoir accès à tous les fichiers

        -démarrer

        -poste de travail ou autre dossier

        -menu outils

        -options de dossier

        -onglet affichage

        puis

        - activer la case : Afficher les fichiers et dossiers cachés

        - désactiver la case : Masquer les extensions des fichiers dont le type est connu

        - désactiver la case : Masquer les fichier protégés du système d'exploitation

        Puis - Appliquer
        0
      2. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
         
        Bonjour, j'ai suivi ce que vous m'avez indiqué, j'ai désactivé les cases demandées et à mon grand désespoir je ne trouve pas de dossier c:\windowws\system32\sci2usb.dll.
        0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    bizarre tout de même.
    Reposte un rapport hijackthis pour voir.

    As tu essayé avec la recherche de windows ?
    0
  10. hemsou Messages postés 18 Statut Membre
     
    Re. Voilà le rapport hijackthis:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:48:37, on 19/03/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\PAStiSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Real\RealJukebox\tsystray.exe
    C:\Program Files\Real\RealPlayer\realplay.exe
    C:\Program Files\Winamp3\winampa.exe
    C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
    C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\souad\Local Settings\Temp\Répertoire temporaire 5 pour hij.exe.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.menara.ma/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/getwinamp/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Menara
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [RealJukeboxSystray] "C:\Program Files\Real\RealJukebox\tsystray.exe"
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
    O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Picture Package Menu.lnk = ?
    O4 - Global Startup: Picture Package VCD Maker.lnk = ?
    O4 - Global Startup: RealDownload.lnk = C:\Program Files\Real\RealDownload\Realdownload.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd2d894676dd4960b6670203c4af49fa
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd2d894676dd4960b6670203c4af49fa
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Abonnés - {853BF2FB-9373-4300-BC3D-C4170C4E5F4A} - http://abonne.menara.ma (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=https://www.menara.ma/
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4736CD67-11D5-4ACC-B303-D58F16A124A7}: NameServer = 212.217.0.3 196.217.246.210
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: scsi2usb - C:\WINDOWS\SYSTEM32\scsi2usb.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
    0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    pourtant la ligne est bien toujours là, je ne vois pas pourquoi tu ne la trouves pas, j'ai fait des recherches, concernant cette dll, il apparait à chaque fois que VIRUS TOTAL n'y voit rien de méchant. Je pense que tu peux la laisser.

    PAR CONTRE, il serait peut être temps de mettre ton système à jour, d'installer un ANTIVIRUS + un FIREWALL si tu ne veux pas être à nouveau infecté dans les heures qui viennent

    0
  12. zBr
     
    Salut Philae, hemsou

    Hemsou, si tu as recherché ce fichier:
    c:\Windows\System32\sci2usb.dll
    virus audio ya com#22
    Normal que tu ne l'ai pas trouvé :-)
    C'est pas la bonne orthographe !
    C:\Windows\System32\scsi2usb.dll

    Si jamais elle était toujours invisible malgré tout, essaye ceci sur virustotal:
    Clic sur "parcourir", puis dans la boîte de dialogue qui s'ouvre n'essayes pas de rechercher ce fichier, copie et colle directement son chemin dans "Nom du fichier" et valide avec "Ouvrir"

    PS:
    Désolé pour l'incruste philae, en fait je suis vraiment très curieux de voir ce que vaut cette Dll sur virustotal, car cette 020 est aussi répertoriée dans le changelog d'Haxfix.

    a++
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      bonsoir zBr,

      aucun soucis, tu es le bienvenu, il me semble mais j'ai pas gardé que scan sur virustotal fait c'était ok, mais j'aurai du garder sous le coude. Je ne mettrais pas ma main à couper :)
      0
  13. zBr
     
    Bonsoir Philae

    Merci.
    En fait ce qui m'inquiète c'est qu'il ne trouve pas cette dll, même les fichiers cachés et système visible...
    Ca sent la protection du fichier par rootkit à plein nez, et qui plus est, la spécialité des Haxdoor & Co.
    Mais bon, je ne vais pas moi non plus, trop vite envoyer ma main à la guillotine :-) d'autant plus que j'ai vu une rèf de cette dll pour un prog du nom de Super DVD Ripper...

    Hemsou, si jamais tu ne trouvais pas le fichier scsi2usb.dll et que tu reçois un message d'erreur sur virustotal en faisant la manip que je t'ai indiqué:
    Télécharge Blacklight sur ton bureau:
    https://europe.f-secure.com/exclude/blacklight/blbeta.exe
    Lance-le en double-cliquant sur le fichier blbeta.exe
    - Accepte la licence, et clic sur "Scan"
    - Une fois le scan terminé, ne touche plus à rien et referme Blacklight
    - Sur ton Bureau tu devrais trouver un fichier fsbl-bxxxx.log
    - Ouvre le avec le bloc-notes et copie et colle son contenu dans ton prochain message.

    Bonne fin de soirée
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      re et merci zBr pour tes explications.

      J'espère que notre demandeur va revenir.
      0
      1. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
         
        Bonjour, voilà le rapport de virustotal:
        STATUS: FINISHEDComplete scanning result of "scsi2usb.dll", received in VirusTotal at 03.20.2007, 16:30:53 (CET).

        Antivirus Version Update Result
        AhnLab-V3 2007.3.21.0 03.20.2007 Win-Trojan/Goldun.20207.B
        AntiVir 7.3.1.44 03.20.2007 BDS/Haxdoor.GJ.1
        Authentium 4.93.8 03.20.2007 W32/Trojan.TBE
        Avast 4.7.936.0 03.19.2007 Win32:Haxspy-W
        AVG 7.5.0.447 03.20.2007 PSW.Generic2.DQO
        BitDefender 7.2 03.20.2007 Generic.Malware.SFYdlwdld.CD0B02A3
        CAT-QuickHeal 9.00 03.20.2007 no virus found
        ClamAV devel-20070312 03.20.2007 Trojan.Spy.Goldun-114
        DrWeb 4.33 03.20.2007 Trojan.PWS.GoldSpy
        eSafe 7.0.14.0 03.20.2007 SuspiciousR-Agent26
        eTrust-Vet 30.6.3494 03.20.2007 Win32/Starimp!generic
        Ewido 4.0 03.20.2007 Logger.Goldun.lo
        FileAdvisor 1 03.20.2007 no virus found
        Fortinet 2.85.0.0 03.20.2007 Spy/Goldun
        F-Prot 4.3.1.45 03.20.2007 W32/Trojan.TBE
        F-Secure 6.70.13030.0 03.20.2007 Trojan-Spy.Win32.Goldun.lo
        Ikarus T3.1.1.3 03.20.2007 Trojan-Spy.Win32.Goldun.lo
        Kaspersky 4.0.2.24 03.20.2007 Trojan-Spy.Win32.Goldun.lo
        McAfee 4987 03.19.2007 PWS-Goldun.dll
        Microsoft 1.2306 03.20.2007 TrojanSpy:Win32/Goldun.gen!dll
        NOD32v2 2129 03.20.2007 a variant of Win32/Spy.Goldun.GU
        Norman 5.80.02 03.20.2007 W32/Haxdoor.ARJ
        Panda 9.0.0.4 03.20.2007 Trj/Goldun.KK
        Prevx1 V2 03.20.2007 no virus found
        Sophos 4.15.0 03.13.2007 Troj/Goldun-EB
        Sunbelt 2.2.907.0 03.16.2007 Goldun.Fam
        Symantec 10 03.20.2007 Trojan.Goldun.K
        TheHacker 6.1.6.078 03.20.2007 Trojan/Spy.Goldun.lo
        UNA 1.83 03.16.2007 Trojan.Spy.Win32.Goldun.02E0
        VBA32 3.11.2 03.19.2007 Trojan-Spy.Win32.Goldun.lo
        VirusBuster 4.3.7:9 03.20.2007 TrojanSpy.Goldun.KG
        Webwasher-Gateway 6.0.1 03.20.2007 Trojan.Haxdoor.GJ.1


        Aditional Information
        File size: 20207 bytes
        MD5: 0819dce81bde6c9fd24888ffd1bc23b8
        SHA1: 16d1ef77ce9aaed501cfc8585c25a1b22e234a13
        packers: UPX
        packers: UPX
        packers: UPX
        Sunbelt info: Goldun.Fam is a family of Trojan horse programs that steals users' information entered for authentication on e-gold online web forms.

        Je n'ai pas vu le virus audio.ya depuis 2 jours j'espere qu'il est definitivement parti, en tout cas merci à tous les 2 philae et zBr.
        0
  14. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    ne te sauve surtout pas....zBr avait vu juste.

    peux tu stp

    * Télécharge Blacklight
    https://europe.f-secure.com/exclude/blacklight/index.shtml
    (de F-Secure)
    (le premier de la page)

    Enregistre le sur ton Bureau.
    Double-clique blbeta.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next<*gras>

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log
    (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
    car des fichiers légitimes peuvent être présents, tel wbemtest.exe
    0
    1. hemsou Messages postés 18 Statut Membre
       
      Re,
      voici le rapport blacklight:
      03/20/07 17:13:54 [Info]: BlackLight Engine 1.0.55 initialized
      03/20/07 17:13:54 [Info]: OS: 5.1 build 2600 ()
      03/20/07 17:13:55 [Note]: 7019 4
      03/20/07 17:13:55 [Note]: 7005 0
      03/20/07 17:14:07 [Note]: 7006 0
      03/20/07 17:14:08 [Note]: 7011 1712
      03/20/07 17:14:08 [Note]: 7026 0
      03/20/07 17:14:09 [Note]: 7026 0
      03/20/07 17:14:09 [Note]: 7024 3
      03/20/07 17:14:09 [Info]: Hidden process: C:\windows\system32\zuauatitfa.exe
      03/20/07 17:14:41 [Note]: FSRAW library version 1.7.1021
      03/20/07 17:19:26 [Info]: Hidden file: c:\WINDOWS\system32\scsi2usb.dll
      03/20/07 17:19:26 [Note]: 10002 1
      03/20/07 17:19:27 [Info]: Hidden file: c:\WINDOWS\system32\scsipsrvc.sys
      03/20/07 17:19:27 [Note]: 10002 1
      03/20/07 17:19:32 [Info]: Hidden file: c:\WINDOWS\system32\zuauatitfa.dat
      03/20/07 17:19:32 [Note]: 10002 1
      03/20/07 17:19:33 [Info]: Hidden file: C:\windows\system32\zuauatitfa.exe
      03/20/07 17:19:33 [Note]: 10002 1
      03/20/07 17:19:33 [Info]: Hidden file: c:\WINDOWS\system32\zuauatitfa_nav.dat
      03/20/07 17:19:33 [Note]: 10002 1
      03/20/07 17:19:33 [Info]: Hidden file: c:\WINDOWS\system32\zuauatitfa_navps.dat
      03/20/07 17:19:33 [Note]: 10002 1
      03/20/07 17:22:03 [Note]: 2000 1012
      03/20/07 17:27:20 [Note]: 7007 0

      Je ne comprends pas tout ce que je fais mais j'espère que ça marchera. Merci.
      0
  15. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    en fait on recherche un rootkit sur ton pc, et il est bien là, on va donc procéder à son nettoyage...lol après tu verras il ronronnera ce pc

    ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

    * Télécharge CCleaner

    http://www.filehippo.com/download_ccleaner.html

    ("Download Latest Version", sur la droite).

    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    * télécharge Brute Force Uninstaller

    http://www.merijn.org/files/bfu.zip

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://metallica.geekstogo.com/EGDACCESS.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * télécharge Navipromo.zip (par lazzzy)

    http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
    et décompresse-le sur ton bureau

    * Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

    https://forum.pcastuces.com/default.asp#haut

    à la lettre C

    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.

    * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
    * Sélectionne l'option "Recherche et suppression automatique". Patiente.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
    Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    * Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    * Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
    * Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    * Clique exit pour fermer le programme BFU.
    Recommence encore une fois

    * Démarrer -> panneau de configuration -> options internet

    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    => Supprime-les tous

    * lance Ccleaner pour un nettoyage complet.

    * redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    0
  16. zBr
     
    Bonsoir Philae, hemsou

    Ouep, deux roots pour le prix d'un :-)
    Navipromo et plus génant Goldun/Haxdoor, cette saleté essaye de récupèrer entre autre les données bancaire lors de transactions en ligne...
    Hemsou, tu as eu récemment une infection de type smitfraud ? (icônes d'alerte à côté de l'horloge, programmes antispywares, codecs, qui s'installaient tout seul, etc...)
    Suis bien la manip de Philae et dans l'ordre, ça devrait déjà faire pas mal de nettoyage et permettre à ton pc de respirer un peu mieux, lol.

    a++
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      bonsoir zBr

      merci de ton passage, surtout revient voir la suite. Si les manips que je lui ai données n'ont pas tout virer j'aurais surement besoin de toi

      0
    2. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      Bsr philae et zBr, je n'ai pas remarqué quelque chose près de l'horloge ou autre, voici le rapport navipromo:
      Rapport Navipromo.bat 0.71 effectué le 20/03/2007 à 20:09:12,02
      L'opération se déroule en mode sans échec sous le compte "souad"

      ** Recherche...

      1/ zuauatitfa trouvé, recherche de zuauatitfa*
      C:\WINDOWS\system32\zuauatitfa.dat
      C:\WINDOWS\system32\zuauatitfa.exe
      C:\WINDOWS\system32\zuauatitfa_nav.dat
      C:\WINDOWS\system32\zuauatitfa_navps.dat
      C:\WINDOWS\prefetch\ZUAUATITFA.EXE-11E09AE2.pf

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      zuauatitfa REG_SZ c:\windows\system32\zuauatitfa.exe zuauatitfa

      ------------------
      Fin du rapport de recherche
      Adware Navipromo trouvé 1 fois avec cette méthode

      ################################################

      ** Nettoyage...

      1/ Déplacement de zuauatitfa* vers C:\Navipromo\Backups...
      C:\WINDOWS\System32\zuauatitfa* déplacé avec succès !
      C:\WINDOWS\prefetch\zuauatitfa* déplacé avec succès

      ------------------
      * Suppression clés et valeurs de registre
      1 entrées de registre netttoyées


      * Backups :

      C:\Navipromo\Backups\ARPCache.reg
      C:\Navipromo\Backups\HKCURun.reg
      C:\Navipromo\Backups\HKLMRun.reg
      C:\Navipromo\Backups\pack.epk
      C:\Navipromo\Backups\Uninstall.reg
      C:\Navipromo\Backups\zuauatitfa.dat
      C:\Navipromo\Backups\zuauatitfa.exe
      C:\Navipromo\Backups\ZUAUATITFA.EXE-11E09AE2.pf
      C:\Navipromo\Backups\zuauatitfa_nav.dat
      C:\Navipromo\Backups\zuauatitfa_navps.dat

      Ajout d'extension .off aux backups

      ## Fin du rapport de Suppression

      -------------

      Rapport Navipromo.bat 0.72 effectué le 20/03/2007 à 20:10:31,84
      L'opération se déroule en mode sans échec sous le compte "souad"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique
      le pb que j'ai eu c pour enregistrer egdaccess et winsoftware, il n'y avait pas "tous les fichiers" alors j'ai mis "fichiers texte". Et je n'ai pas trouvé dans certificats de :electronic-group-egroup-montorgueil-vip-sunny day designed ltd"
      A +
      0
    3. zBr > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      Bonsoir Philae

      Ok, je reste dans le coin une petite heure encore, si besoin.

      Normalement il devrait encore rester ces deux dans le rapport Blacklight :

      03/20/07 17:19:26 [Info]: Hidden file: c:\WINDOWS\system32\scsi2usb.dll
      03/20/07 17:19:27 [Info]: Hidden file: c:\WINDOWS\system32\scsipsrvc.sys


      Tu connais l'utilisation d'Haxfix de Marckie ?

      a++
      0
    4. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > zBr
       
      Bonsoir zBr,

      disons que j'ai le canned, mais je ne me souviens pas l'avoir utilisé.
      0
    5. zBr > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      T'inquiètes, tu as l'air d'avoir les bons canneds et le fix n'est pas très piégeux, donc ça devrait rouler sans problèmes :-)
      Le seul truc qu'il faut savoir pour ce fix si jamais tu devais le faire réutiliser, c'est qu'il faut vraiment avant de faire employer la suppression automatique, vérifier et être très attentif aux services détectés dans la première partie du rapport.

      --- Checking for Haxdoor ---

      checking for a3d files
      a3d files not found

      checking for matching notify keys
      no matching notify keys found

      checking for matching services
      <==

      Il peut générer parfois des faux-positifs dans la détection et l'auteur du script prévient d'ailleur l'utilisateur de cette possibilité, dès le lancement du batch.

      Ce ne sera pas le cas pour le log haxfix d'hemsou je pense, sauf erreur de ma part, c'est plutôt la seconde partie du rapport qui le concerne et devrait peut-être révéler la présence d'un 3ème ou 4ème larron, absent dans celui de Blacklight.

      Bonne fin de soirée.

      a++
      0
  17. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    peux tu refaire maintenant un nouveau scan avec blacklight stp, et reposter le rapport
    0
    1. hemsou Messages postés 18 Statut Membre
       
      Re, voici le rapport blacklight effectivement zBr a bien vu:
      03/20/07 22:30:12 [Info]: BlackLight Engine 1.0.55 initialized
      03/20/07 22:30:12 [Info]: OS: 5.1 build 2600 ()
      03/20/07 22:30:13 [Note]: 7019 4
      03/20/07 22:30:13 [Note]: 7005 0
      03/20/07 22:30:21 [Note]: 7006 0
      03/20/07 22:30:21 [Note]: 7011 1992
      03/20/07 22:30:22 [Note]: 7026 0
      03/20/07 22:30:23 [Note]: 7026 0
      03/20/07 22:30:52 [Note]: FSRAW library version 1.7.1021
      03/20/07 22:36:04 [Info]: Hidden file: c:\WINDOWS\system32\scsi2usb.dll
      03/20/07 22:36:04 [Note]: 10002 1
      03/20/07 22:36:04 [Info]: Hidden file: c:\WINDOWS\system32\scsipsrvc.sys
      03/20/07 22:36:04 [Note]: 10002 1
      03/20/07 22:39:33 [Note]: 2000 1012
      J'attend la suite si vous le voulez bien;
      0
    2. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > hemsou Messages postés 18 Statut Membre
       
      alors la suite, c'est zBr qui nous l'a tracée

      Télécharger haxfix.exe
      http://users.telenet.be/marcvn/tools/haxfix.exe

      (Merci à Marckie) et le sauvegarde sur le bureau.
      · Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
      · Cocher "Create a desktop icon"
      · Cliquer "Next"
      · Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
      · Cliquer "Finish"

      Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
      1. Make logfile (créer un rapport)
      2. Run auto fix (lancer la réparation en mode automatique)
      3. Run manual fix (lancer la réparation en mode manuel)
      E. Exit Haxfix (quitter Haxfix)
      · Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"

      · Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
      · Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.
      0
    3. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      Voilà le rapport haxfix:
      HAXFIX logfile - by Marckie

      version 4.39
      20/03/2007 22:53:46,95

      --- Checking for Haxdoor ---

      checking for a3d files
      a3d files not found

      checking for matching notify keys
      no matching notify keys found

      checking for matching services
      no matching services found

      checking for matching safeboot services
      no matching safeboot services found

      checking for other Haxdoor-files
      no other Haxdoor-files found


      --- Checking for Goldun ---


      checking for SSODL keys
      no ssodl keys found

      checking for notify keys
      scsi2usb

      checking for services
      scsipsrvc

      checking for other Goldun-files
      no other Goldun-files found

      checking iexplore.exe
      iexplore.exe is not infected


      Finished!
      A+
      0
    4. philae83 Messages postés 12854 Statut Contributeur sécurité 206 > hemsou Messages postés 18 Statut Membre
       
      on va passer à la suite

      Option 2 autofix (réparation automatique)
      · Ouvrir le dossier C:\Program Files\haxfix et double-cliquer sur fix.bat
      (ou double-cliquer sur l'icone du bureau HaxFix )
      · Fermer toutes les autres fenêtres, car Haxfix re-démarrera le système.

      · Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"

      si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

      · Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"
      · La machine sera re-démarrée
      · En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)
      · Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis .
      0
    5. hemsou Messages postés 18 Statut Membre > philae83 Messages postés 12854 Statut Contributeur sécurité
       
      Alors voilà le rapport haxfix:
      HAXFIX logfile - by Marckie

      version 4.39
      20/03/2007 23:11:19,33

      --- Auto Haxdoorfix ---


      searching for files:

      no infections found


      --- Goldunfix ---


      searching for files:


      checking iexplore.exe
      iexplore.exe is not infected

      searching for SSODLkeys:
      no SSODLkeys found

      searching for notifykeys:
      scsi2usb

      searching for services:
      scsipsrvc


      deleting service scsipsrvc
      [SWSC] DeleteService SUCCESS


      .....rebooting the computer.....


      searching for ssodlkeys

      not needed


      searching for notifykeys

      notifykey scsi2usb not found


      searching for services

      service scsipsrvc not found


      searching for safeboot services

      not needed


      searching for files

      scsi2usb.dll exists
      deleting scsi2usb.dll
      scsi2usb.dll has been deleted

      scsipsrvc.sys exists
      deleting scsipsrvc.sys
      scsipsrvc.sys has been deleted


      checking for other files

      ksl48.bin exists
      deleting ksl48.bin
      ksl48.bin has been deleted


      checking for a3d files

      no a3d files found


      Finished
      Et le dernier rapport hijackthis:
      Logfile of HijackThis v1.99.1
      Scan saved at 23:22:49, on 20/03/2007
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\PAStiSvc.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Mixer.exe
      C:\Program Files\Real\RealJukebox\tsystray.exe
      C:\Program Files\Real\RealPlayer\realplay.exe
      C:\Program Files\Winamp3\winampa.exe
      C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
      C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
      C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
      C:\WINDOWS\System32\cmd.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
      C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
      C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
      C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\vk_scanprocess.exe
      C:\Documents and Settings\souad\Local Settings\Temp\Répertoire temporaire 1 pour hij.exe.zip\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.menara.ma/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winamp.com/getwinamp/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Menara
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
      O4 - HKLM\..\Run: [RealJukeboxSystray] "C:\Program Files\Real\RealJukebox\tsystray.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
      O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
      O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
      O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2007 Pro Evaluation\VirusKeeper.exe
      O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Picture Package Menu.lnk = ?
      O4 - Global Startup: Picture Package VCD Maker.lnk = ?
      O4 - Global Startup: RealDownload.lnk = C:\Program Files\Real\RealDownload\Realdownload.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?cd2d894676dd4960b6670203c4af49fa
      O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?cd2d894676dd4960b6670203c4af49fa
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: Abonnés - {853BF2FB-9373-4300-BC3D-C4170C4E5F4A} - http://abonne.menara.ma (file missing) (HKCU)
      O14 - IERESET.INF: START_PAGE_URL=https://www.menara.ma/
      O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4736CD67-11D5-4ACC-B303-D58F16A124A7}: NameServer = 212.217.0.3 196.217.246.210
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

      Esperons qu'on est au bout du tunnel en tout cas chapeau à tous les 2 pour vos connaissances.
      0
  18. willyvi
     
    salut! je tenais a m'incruter car je viens moi aussi de choper cette saloperie, donc je suis votre progression avec grand interet! bon courage et merci d'avance au cas ou vous y arriver
    0
    1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
       
      bonsoir willyvi

      je pense qu'en parallèle, tu devrais te créer ton propre sujet afin de recevoir de l'aider personnalisée. Ce serait certainement la meilleure solution, ce qui ne t'empêche pas de suivre celui ci.
      0
  19. willyvi
     
    salut philae83 !
    merci pour la reponse!
    en fais tu as entierement raison, il vaut mieu que je creer mon propres sujet
    car j'avoue etre complement perdue! je ne voie vraiment pas par ou commencer pour me debarrasser de ce virus!
    seulement je suis pas trop habituer des forums!
    c peut etre trop te demander mais please help me!!!
    pourrais tu m'indiquer comment m'en debarasser j'en peut plus je contamine tout mes contacts msn!
    merci
    0
  20. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,
    bon écoute, vu que le topic de hemsou est terminé, on continue ici si cela t'arrange.

    Commence par poster un rapport hijackthis stp
    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  21. willyvi
     
    ok, merci
    voila:
    Logfile of HijackThis v1.99.1
    Scan saved at 23:00:07, on 21/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\ICQLite\ICQLite.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\udll.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\eMule\emule.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.noos.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Flash_Player_Install] C:\WINDOWS\udll.exe
    O4 - HKLM\..\Run: [Rg2catbd] C:\Arquivos de programas\Rg2catbd.exe
    O4 - HKLM\..\Run: [udll] C:\WINDOWS\udll.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [IMC] C:\Program Files\FriendFinder\FriendFinder Messenger 30\imc.exe
    O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by125w.bay125.mail.live.com/mail/resources/MsnPUpld.cab
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exeFiles\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Flash_Player_Install] C:\WINDOWS\udll.exe
    O4 - HKLM\..\Run: [Rg2catbd] C:\Arquivos de programas\Rg2catbd.exe
    O4 - HKLM\..\Run: [udll] C:\WINDOWS\udll.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [IMC] C:\Program Files\FriendFinder\FriendFinder Messenger 30\imc.exe
    O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by125w.bay125.mail.live.com/mail/resources/MsnPUpld.cab
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    0
  • 1
  • 2