Sujet Précédent Sujet Suivant

Envahi pr les pubs Cid!!

Fermé
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007 - 21 mars 2007 à 14:47
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 22 mars 2007 à 22:41
Bonjour à tous!

comme beaucoup d'internautes ces deniers temps, je suis envahi par les fenêtres publicitaires Cid. J'ai déjà lancé Avast, AdAware et CCleaner. je vous envoie mon rapport Hijackthis en espérant avoir une solution rapidement.
merci d'avance =)

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:41:44, on 03/21/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Winamp3\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\DOCUME~1\Lauriane\MESDOC~1\MESIMA~1\MEVCAM~1\ta'1\SsAAD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Sony Handheld\USBSwt.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Rado\Mes documents\pgm\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8721AEB3-663B-7F01-5036-CC323A8FB4E4} - C:\PROGRA~1\METACO~1\insidewarn.exe (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: (no name) - {DCE25B15-FBE5-7B59-060F-D7D4FE5A2C28} - C:\DOCUME~1\Rado\APPLIC~1\METACO~1\HtmBeep.exe (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.connect-we.fr/
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

19 réponses

Réponse 1 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 mars 2007 à 16:04
Bonjour,
Commence par ceci stp :

Télécharge lopxp

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip


dezippe le (clic droit dessus > extraire tout)
et lance lopxpmh.bat en double-cliquant dessus
quand il à terminé, un rapport s'ouvre , copie et colle le contenu dans ta réponse.
@+
0
Réponse 2 / 19
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007
21 mars 2007 à 16:12
voici le rapport lopxp:

Rapport fait à 16:08:54,95 le 03/21/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\All Users\Application Data

08/20/2003 14:46 <REP> .
08/20/2003 14:46 <REP> ..
01/17/2007 18:43 <REP> Adobe
02/23/2007 19:31 <REP> Apple Computer
08/21/2003 08:18 <REP> CyberLink
09/21/2005 02:17 <REP> Dumb Size Amok Seek
09/25/2006 18:30 <REP> Google
03/10/2006 00:43 <REP> Kaspersky Anti-Virus Personal
10/11/2004 21:32 <REP> mealfordameninfo
04/22/2005 17:57 <REP> Messenger Plus!
08/20/2003 14:46 <REP> Microsoft
01/19/2004 18:00 <REP> MSN6
08/26/2005 15:36 <REP> QuickTime
08/20/2003 14:05 <REP> SBSI
02/26/2006 12:03 <REP> Skype
02/06/2007 16:26 <REP> Sony Corporation
01/23/2004 23:17 <REP> Spybot - Search & Destroy
10/18/2003 21:11 <REP> Symantec
06/29/2004 12:55 <REP> Viewpoint
06/30/2006 12:01 <REP> Windows Genuine Advantage
08/20/2003 14:46 62 desktop.ini
10/18/2003 19:47 188 hpzinstall.log
2 fichier(s) 250 octets
20 R‚p(s) 3ÿ607ÿ678ÿ976 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/20/2003 14:46 <REP> .
08/20/2003 14:46 <REP> ..
10/18/2003 19:41 <REP> Adobe
08/20/2003 13:55 <REP> Identities
10/18/2003 19:41 <REP> InterTrust
08/20/2003 14:46 <REP> Microsoft
08/20/2003 14:46 62 desktop.ini
1 fichier(s) 62 octets
6 R‚p(s) 3ÿ607ÿ666ÿ688 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

08/20/2003 14:46 <REP> .
08/20/2003 14:46 <REP> ..
10/18/2003 19:41 <REP> ApplicationHistory
08/20/2003 13:54 <REP> Microsoft
10/18/2003 19:41 <REP> WMTools Downloaded Files
10/18/2003 19:41 3ÿ584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/18/2003 19:41 135 fusioncache.dat
10/18/2003 19:41 4ÿ256ÿ466 IconCache.db
3 fichier(s) 4ÿ260ÿ185 octets
5 R‚p(s) 3ÿ607ÿ666ÿ688 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Dominique\Application Data

10/20/2003 20:13 <REP> .
10/20/2003 20:13 <REP> ..
10/20/2003 20:13 <REP> Adobe
08/07/2005 22:49 <REP> Creative
04/08/2006 21:08 <REP> eq for debug
01/17/2004 09:51 <REP> Help
01/18/2004 08:07 <REP> Hewlett-Packard
10/23/2003 20:07 <REP> ICQ
10/20/2003 20:13 <REP> Identities
10/20/2003 20:13 <REP> InterTrust
02/23/2006 17:30 <REP> Lavasoft
05/07/2004 19:24 <REP> Macromedia
09/07/2004 20:24 <REP> MetaCoolCast
10/20/2003 20:13 <REP> Microsoft
01/19/2004 18:00 <REP> MSN6
01/02/2005 21:38 <REP> Real
03/10/2006 18:45 <REP> Skype
01/08/2005 08:48 <REP> Yahoo!
02/11/2007 11:24 2ÿ508 $_hpcst$.hpc
10/20/2003 20:13 62 desktop.ini
2 fichier(s) 2ÿ570 octets
18 R‚p(s) 3ÿ607ÿ666ÿ688 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Dominique\Local Settings\Application Data

10/20/2003 20:13 <REP> .
10/20/2003 20:13 <REP> ..
06/12/2004 09:11 <REP> Adobe
10/20/2003 20:13 <REP> ApplicationHistory
01/17/2004 09:51 <REP> Help
10/20/2003 20:13 <REP> Microsoft
10/20/2003 20:13 <REP> WMTools Downloaded Files
10/20/2003 20:13 16ÿ384 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/20/2003 20:13 135 fusioncache.dat
03/21/2006 10:57 36ÿ248 GDIPFONTCACHEV1.DAT
10/20/2003 20:13 4ÿ315ÿ984 IconCache.db
4 fichier(s) 4ÿ368ÿ751 octets
7 R‚p(s) 3ÿ607ÿ662ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Josiane\Application Data

10/19/2003 16:13 <REP> .
10/19/2003 16:13 <REP> ..
10/19/2003 16:13 <REP> Adobe
08/27/2004 09:06 <REP> Creative
04/08/2006 11:47 <REP> eq for debug
01/18/2004 21:17 <REP> Help
01/10/2004 21:24 <REP> ICQ
10/19/2003 16:13 <REP> Identities
10/19/2003 16:13 <REP> InterTrust
03/10/2006 00:03 <REP> Lavasoft
05/06/2004 22:26 <REP> Macromedia
10/19/2003 16:13 <REP> Microsoft
12/29/2004 23:12 <REP> Real
03/10/2006 00:10 <REP> Skype
01/27/2007 23:13 <REP> Sun
10/05/2004 12:54 <REP> Template
12/23/2004 09:15 <REP> Yahoo!
12/23/2004 09:16 <REP> Yahoo! Messenger
10/19/2003 16:13 62 desktop.ini
1 fichier(s) 62 octets
18 R‚p(s) 3ÿ607ÿ662ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Josiane\Local Settings\Application Data

10/19/2003 16:13 <REP> .
10/19/2003 16:13 <REP> ..
07/01/2004 17:10 <REP> Adobe
10/19/2003 16:13 <REP> ApplicationHistory
04/10/2005 07:49 <REP> Google
01/18/2004 21:17 <REP> Help
10/19/2003 16:13 <REP> Microsoft
10/19/2003 16:13 <REP> WMTools Downloaded Files
10/19/2003 16:13 5ÿ632 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/19/2003 16:13 135 fusioncache.dat
02/06/2005 21:45 36ÿ248 GDIPFONTCACHEV1.DAT
10/19/2003 16:13 4ÿ817ÿ996 IconCache.db
4 fichier(s) 4ÿ860ÿ011 octets
8 R‚p(s) 3ÿ607ÿ662ÿ592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Lauriane\Application Data

10/18/2003 21:47 <REP> .
10/18/2003 21:47 <REP> ..
10/18/2003 21:47 <REP> Adobe
04/03/2006 21:00 <REP> AdobeUM
03/02/2007 09:37 <REP> BitDownload
08/07/2004 22:25 <REP> Creative
01/11/2005 17:46 <REP> eq for debug
09/25/2006 18:39 <REP> Google
10/19/2003 17:09 <REP> Help
02/14/2004 16:26 <REP> Hewlett-Packard
10/22/2003 17:30 <REP> ICQ
10/18/2003 21:47 <REP> Identities
10/18/2003 21:47 <REP> InterTrust
12/24/2005 19:23 <REP> Lavasoft
04/12/2004 11:13 <REP> Macromedia
11/05/2004 22:16 <REP> Messenger Plus! 3
12/30/2005 22:15 <REP> MessengerPlus! 3
10/18/2003 21:47 <REP> Microsoft
12/29/2004 16:49 <REP> Real
03/09/2006 20:26 <REP> Skype
02/06/2007 16:24 <REP> Sony Corporation
01/25/2007 11:44 <REP> Sun
08/21/2005 15:49 <REP> Symantec
10/19/2003 17:46 <REP> Template
01/26/2007 23:02 2ÿ508 $_hpcst$.hpc
10/18/2003 21:47 62 desktop.ini
2 fichier(s) 2ÿ570 octets
24 R‚p(s) 3ÿ607ÿ658ÿ496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Lauriane\Local Settings\Application Data

10/18/2003 21:47 <REP> .
10/18/2003 21:47 <REP> ..
10/09/2005 16:02 <REP> Adobe
10/18/2003 21:47 <REP> ApplicationHistory
04/09/2005 13:05 <REP> Google
10/19/2003 17:09 <REP> Help
01/19/2005 20:29 <REP> Identities
10/18/2003 21:47 <REP> Microsoft
10/18/2003 21:47 <REP> WMTools Downloaded Files
10/18/2003 21:47 160ÿ256 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/18/2003 21:47 131 fusioncache.dat
11/11/2003 01:24 36ÿ248 GDIPFONTCACHEV1.DAT
10/18/2003 21:47 2ÿ919ÿ816 IconCache.db
11/13/2004 22:36 5ÿ244ÿ000 squiggles.exe
5 fichier(s) 8ÿ360ÿ451 octets
9 R‚p(s) 3ÿ607ÿ658ÿ496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

08/20/2003 13:59 <REP> .
08/20/2003 13:59 <REP> ..
08/20/2003 13:59 <REP> Microsoft
02/18/2007 12:31 2ÿ508 $_hpcst$.hpc
1 fichier(s) 2ÿ508 octets
3 R‚p(s) 3ÿ607ÿ658ÿ496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

08/20/2003 13:59 <REP> .
08/20/2003 13:59 <REP> ..
04/10/2005 11:17 <REP> Google
08/20/2003 13:59 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 3ÿ607ÿ658ÿ496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Meva\Application Data

10/19/2003 09:33 <REP> .
10/19/2003 09:33 <REP> ..
10/19/2003 09:33 <REP> Adobe
05/19/2004 08:17 <REP> AdobeUM
03/23/2005 20:08 <REP> Creative
04/11/2006 15:45 <REP> eq for debug
10/24/2003 15:09 <REP> ICQ
10/19/2003 09:33 <REP> Identities
10/19/2003 09:33 <REP> InterTrust
04/29/2004 08:24 <REP> Macromedia
09/22/2004 18:06 <REP> MetaCoolCast
10/19/2003 09:33 <REP> Microsoft
01/31/2004 15:13 <REP> MSN6
01/25/2005 20:38 <REP> Real
03/01/2006 16:52 <REP> Skype
12/18/2004 18:34 <REP> Yahoo!
10/19/2003 09:33 62 desktop.ini
1 fichier(s) 62 octets
16 R‚p(s) 3ÿ607ÿ658ÿ496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Meva\Local Settings\Application Data

10/19/2003 09:33 <REP> .
10/19/2003 09:33 <REP> ..
05/19/2004 08:17 <REP> Adobe
10/19/2003 09:33 <REP> ApplicationHistory
04/11/2005 13:04 <REP> Google
10/19/2003 09:33 <REP> Microsoft
10/19/2003 09:33 <REP> WMTools Downloaded Files
10/19/2003 09:33 23ÿ040 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/19/2003 09:33 135 fusioncache.dat
03/08/2004 18:55 36ÿ248 GDIPFONTCACHEV1.DAT
10/19/2003 09:33 4ÿ818ÿ004 IconCache.db
4 fichier(s) 4ÿ877ÿ427 octets
7 R‚p(s) 3ÿ607ÿ658ÿ496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

08/20/2003 13:59 <REP> .
08/20/2003 13:59 <REP> ..
08/20/2003 13:59 <REP> Microsoft
04/09/2005 13:06 <REP> Symantec
0 fichier(s) 0 octets
4 R‚p(s) 3ÿ607ÿ654ÿ400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

08/20/2003 13:59 <REP> .
08/20/2003 13:59 <REP> ..
08/20/2003 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 3ÿ607ÿ654ÿ400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Rado\Application Data

10/18/2003 19:41 <REP> .
10/18/2003 19:41 <REP> ..
10/18/2003 19:41 <REP> Adobe
05/06/2004 09:16 <REP> AdobeUM
03/01/2007 10:23 <REP> BitTorrent
08/07/2004 20:40 <REP> Creative
09/26/2006 19:04 <REP> Google
10/24/2003 21:07 <REP> Help
10/18/2003 19:53 <REP> Hewlett-Packard
10/24/2003 19:52 <REP> ICQ
10/18/2003 19:41 <REP> Identities
10/18/2003 19:41 <REP> InterTrust
09/19/2005 16:50 <REP> Lavasoft
05/02/2004 22:39 <REP> Macromedia
10/18/2003 19:41 <REP> Microsoft
10/24/2003 19:55 <REP> Microsoft Web Folders
12/29/2004 14:12 <REP> Real
02/26/2006 12:03 <REP> Skype
01/26/2007 16:18 <REP> Sun
10/18/2003 21:12 <REP> Symantec
01/24/2004 00:14 <REP> Template
03/10/2006 15:45 <REP> Vso
06/10/2004 10:09 <REP> Yahoo! Messenger
01/21/2007 21:50 2ÿ508 $_hpcst$.hpc
10/18/2003 19:41 62 desktop.ini
05/06/2004 08:43 0 dm.ini
3 fichier(s) 2ÿ570 octets
23 R‚p(s) 3ÿ607ÿ654ÿ400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Documents and Settings\Rado\Local Settings\Application Data

10/18/2003 19:41 <REP> .
10/18/2003 19:41 <REP> ..
05/06/2004 09:16 <REP> Adobe
10/18/2003 19:41 <REP> ApplicationHistory
09/26/2006 19:04 <REP> Google
10/24/2003 21:07 <REP> Help
04/20/2004 11:48 <REP> Identities
10/18/2003 19:41 <REP> Microsoft
10/18/2003 19:41 <REP> WMTools Downloaded Files
10/18/2003 19:41 98ÿ816 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/18/2003 19:41 135 fusioncache.dat
12/12/2003 11:19 36ÿ248 GDIPFONTCACHEV1.DAT
12/30/2004 00:47 1ÿ574ÿ568 IconCache.db
4 fichier(s) 1ÿ709ÿ767 octets
9 R‚p(s) 3ÿ607ÿ654ÿ400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

08/20/2003 13:57 <REP> .
08/20/2003 13:57 <REP> ..
10/18/2003 19:41 <REP> Adobe
08/20/2003 13:57 <REP> Identities
10/18/2003 19:41 <REP> InterTrust
08/20/2003 13:57 <REP> Microsoft
12/18/2003 22:31 <REP> Symantec
08/20/2003 13:57 62 desktop.ini
1 fichier(s) 62 octets
7 R‚p(s) 3ÿ607ÿ654ÿ400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

08/20/2003 13:57 <REP> .
08/20/2003 13:57 <REP> ..
10/18/2003 19:41 <REP> ApplicationHistory
08/20/2003 13:57 <REP> Microsoft
10/18/2003 19:41 <REP> WMTools Downloaded Files
10/18/2003 19:41 3ÿ584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
10/18/2003 19:41 135 fusioncache.dat
10/18/2003 19:41 4ÿ256ÿ466 IconCache.db
3 fichier(s) 4ÿ260ÿ185 octets
5 R‚p(s) 3ÿ607ÿ650ÿ304 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\WINDOWS\Tasks

03/02/2007 09:38 274 AA9380C29190355E.job
10/19/2003 09:57 362 Symantec NetDetect.job
10/18/2003 19:53 462 WebReg 20031018205344.job
10/18/2003 19:53 388 FRU Task #Hewlett-Packard#hp psc 1100 series#1066503166.job
08/20/2003 15:40 65 desktop.ini
08/20/2003 13:53 6 SA.DAT
08/20/2003 13:51 <REP> ..
08/20/2003 13:51 <REP> .
6 fichier(s) 1ÿ557 octets
2 R‚p(s) 3ÿ607ÿ650ÿ304 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est CC7E-5281

R‚pertoire de C:\Program Files

03/21/2007 14:18 <REP> .
03/21/2007 14:18 <REP> ..
03/20/2007 16:48 <REP> Adobe
07/18/2006 10:16 <REP> Adverts
08/21/2003 08:14 <REP> Ahead
11/14/2003 16:15 <REP> Alcatel
09/19/2005 17:35 <REP> Alwil Software
11/21/2003 22:49 <REP> AudioMagician
12/13/2006 22:57 <REP> AVConverter
01/02/2005 13:08 <REP> BDE5Setup
01/02/2005 13:08 <REP> Borland
03/21/2007 14:18 <REP> CCleaner
08/20/2003 15:09 <REP> C-Media 3D Audio
07/20/2004 22:54 <REP> Common Files
08/20/2003 13:51 <REP> ComPlus Applications
06/12/2005 19:12 <REP> Creative
08/21/2003 08:18 <REP> CyberLink
03/05/2005 15:08 <REP> directx
12/29/2004 14:24 <REP> DivX
03/21/2007 14:57 <REP> eMule
03/02/2007 09:37 <REP> eq for debug
12/02/2006 23:21 <REP> fichiers .avi
02/06/2007 16:24 <REP> Fichiers communs
08/05/2004 21:05 <REP> FireFly Studios
02/01/2007 21:58 <REP> Google
10/18/2003 19:52 <REP> Hewlett-Packard
01/21/2007 21:51 <REP> HP
01/24/2004 14:00 <REP> ICQLite
08/11/2004 14:28 808 INSTALL.LOG
02/17/2007 11:55 <REP> Internet Explorer
04/19/2004 14:39 <REP> Jasc Software Inc
03/13/2007 15:44 <REP> Java
11/15/2003 21:09 <REP> JVTorrent
03/10/2006 00:43 <REP> Kaspersky Lab
01/04/2007 15:43 <REP> KONAMI
09/19/2005 16:50 <REP> Lavasoft
09/26/2006 17:33 <REP> Maxis
02/12/2005 03:03 <REP> Messenger
11/14/2004 11:07 <REP> Messenger Plus! 2
10/08/2005 16:01 <REP> Messenger Plus! 3
01/22/2007 19:24 <REP> Microsoft ActiveSync
10/24/2003 19:54 <REP> microsoft frontpage
10/31/2003 23:44 <REP> Microsoft Games
09/26/2006 17:34 <REP> Microsoft Office
08/20/2003 14:06 <REP> Microsoft Works
10/11/2004 20:54 <REP> Movie Maker
06/04/2004 10:53 <REP> Mplayer
08/20/2003 13:50 <REP> MSN
12/02/2004 12:54 <REP> MSN Apps
08/20/2003 13:50 <REP> MSN Gaming Zone
02/06/2007 17:52 <REP> MSN Messenger
03/06/2007 14:28 <REP> MyWay
03/27/2005 21:02 <REP> NetMeeting
10/18/2003 20:46 <REP> Nullsoft
01/03/2005 11:33 <REP> Oemji
01/16/2007 16:31 <REP> Outlook Express
07/07/2006 19:23 <REP> PhotoFiltre
06/04/2004 21:41 <REP> PIXELA
01/21/2007 22:36 <REP> PocketRAR
06/04/2004 10:51 <REP> Quake III Arena
01/03/2005 10:48 <REP> QuickTime
10/18/2003 20:45 <REP> Real
08/20/2003 13:52 <REP> Services en ligne
01/17/2007 18:27 <REP> Skype
07/10/2006 10:55 <REP> SM
01/02/2005 13:19 <REP> SmartGenealogy_V13b
02/06/2007 16:28 <REP> Sony
02/06/2007 16:27 <REP> Sony Corporation
03/14/2004 18:48 <REP> Sony Handheld
03/06/2007 14:09 <REP> Spybot - Search & Destroy
12/09/2004 12:34 <REP> SuperCopier
04/01/2006 11:28 <REP> Symantec
09/19/2006 13:56 <REP> The Adventure Company
08/25/2003 10:01 <REP> VGA
10/18/2003 20:46 <REP> Viewpoint
03/10/2006 15:44 <REP> vso
11/11/2005 14:17 <REP> WeiKeng
08/11/2004 14:37 <REP> Winamp3
09/19/2004 17:58 <REP> Windows Media Components
02/18/2007 12:12 <REP> Windows Media Connect 2
02/18/2007 12:12 <REP> Windows Media Player
10/11/2004 20:51 <REP> Windows NT
10/25/2003 23:25 <REP> WinRAR
08/20/2003 13:56 <REP> xerox
01/03/2005 11:23 <REP> Yahoo!
1 fichier(s) 808 octets
84 R‚p(s) 3ÿ607ÿ646ÿ208 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
command REG_SZ C:\Documents and Settings\All Users\Application Data\mealfordameninfo\IDOLSTORE.exe
command REG_SZ C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek\Part Up.exe
command REG_SZ C:\Documents and Settings\All Users\Application Data\math the regs itch\Vc 64.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 3 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 mars 2007 à 17:05
Re,

Panneau de configuration Ajouter/supprimer des progarmmes.

Regarde pour tous les Messengers Plus! si tu peux désinstaller le sponsor : tu cliques supprimer, s'il les la procédure.

As tu Cid ou Cidhelp parmi les programmes désinstallables ?

Si oui, désinstalles le et remets un log Hijackthis.

Sinon, tu avertis que tu ne l'as pas.
@+

0
Réponse 4 / 19
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007
21 mars 2007 à 17:13
salut Lyonnais92,

j'avais déjà désinstallé le sponsor messenger plus! et je n'ai pas de Cid ou Cid Help.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 mars 2007 à 18:26
Re,

Ouvres HijackThis, choisis do a scan only,

coche la case devant les lignes :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8721AEB3-663B-7F01-5036-CC323A8FB4E4} - C:\PROGRA~1\METACO~1\insidewarn.exe (file missing)
O2 - BHO: (no name) - {DCE25B15-FBE5-7B59-060F-D7D4FE5A2C28} - C:\DOCUME~1\Rado\APPLIC~1\METACO~1\HtmBeep.exe (file missing)

Ferme toutes les autres fenêtres actives et clique sur fix checked.


Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek
C:\Documents and Settings\All Users\Application Data\mealfordameninfo
C:\Documents and Settings\Dominique\Application Data\eq for debug
C:\Documents and Settings\Josiane\Application Data\eq for debug
C:\Documents and Settings\Lauriane\Application Data\eq for debug
C:\Documents and Settings\Meva\Application Data\eq for debug
C:\WINDOWS\Tasks\AA9380C29190355E.job
C:\Program Files\Adverts
C:\Program Files\eq for debug


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
@+
0
Réponse 6 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
21 mars 2007 à 18:33
Bonsoir ,

Just pour suivre SVP
Merci



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
"command"=-
C:\Documents and Settings\All Users\Application Data\math the regs itch\Vc 64.exe

;)

Al.
0
Réponse 7 / 19
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007
21 mars 2007 à 23:17
ok c'est fait, voici le rapport:

Folder cleanup failed. C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek scheduled to be deleted on reboot.
C:\Documents and Settings\All Users\Application Data\mealfordameninfo moved successfully.
C:\Documents and Settings\Dominique\Application Data\eq for debug moved successfully.
C:\Documents and Settings\Josiane\Application Data\eq for debug moved successfully.
C:\Documents and Settings\Lauriane\Application Data\eq for debug moved successfully.
C:\Documents and Settings\Meva\Application Data\eq for debug moved successfully.
C:\WINDOWS\Tasks\AA9380C29190355E.job moved successfully.
C:\Program Files\Adverts moved successfully.
C:\Program Files\eq for debug moved successfully.

Created on 03/21/2007 23:02:38


A priori ça a réglé le problème, merci beaucoup Lyonnais92^^
Par contre peux-tu m'expliquer comment éviter de rechoper ce spy?

euh... Afideg, désolé j'ai pas compris ton msg...
0
Réponse 8 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
21 mars 2007 à 23:58
Bonsoir,

Afideg a envie de voir la fin de ce traitement. C'est le sens de son message.

Les pop up ont disparus, mais il reste des traces à éliminer.

Supprime C:\OTMoveIt et vide la corbeille.

Relance Hijackthis, choisis Do a scan only.

Coche la case devant les lignes suivantes :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8721AEB3-663B-7F01-5036-CC323A8FB4E4} - C:\PROGRA~1\METACO~1\insidewarn.exe (file missing)
O2 - BHO: (no name) - {DCE25B15-FBE5-7B59-060F-D7D4FE5A2C28} - C:\DOCUME~1\Rado\APPLIC~1\METACO~1\HtmBeep.exe (file missing)

Ferme toutes les autres fenêtres et clique sur fix checked.

Ferme Hijackthis.

Tu n'as pas de parefeu. Pour améliorer ta sécurité, télécharge et configure kerio :
http://kerio.probb.fr/Systemesd-exploitation-c1/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Kerio-4-version-gratuite-t201.htm

Reboote l'ordi. Si le répertoire C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek est encore présent, supprime le.

Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

¤ Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche. Décoche la case devant "Avancé"
. Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

Suppression des incohérence du registre

• Clique sur l'icône Erreurs situés dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement

Relance la recherche et la suppression des erreurs autant de fois qu'il faut.

Remets un log lopxp et un log Hijackthis.

Pour éviter de rechopper ce spy, évite les logiciels de P2P (Bitdownload, ...) et lis les licences d'utilisation. Evite d'installer les sponsors.

@+
0
Réponse 9 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
22 mars 2007 à 00:04
Salut infero

C'était pour voir ce résultat magnifique:

Folder cleanup failed. C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek scheduled to be deleted on reboot.
C:\Documents and Settings\All Users\Application Data\mealfordameninfo moved successfully.
C:\Documents and Settings\Dominique\Application Data\eq for debug moved successfully.
C:\Documents and Settings\Josiane\Application Data\eq for debug moved successfully.
C:\Documents and Settings\Lauriane\Application Data\eq for debug moved successfully.
C:\Documents and Settings\Meva\Application Data\eq for debug moved successfully.
C:\WINDOWS\Tasks\AA9380C29190355E.job moved successfully.
C:\Program Files\Adverts moved successfully.
C:\Program Files\eq for debug moved successfully.

Created on 03/21/2007 23:02:38


Bravo Lyonnais92
Merci
Al
0
Réponse 10 / 19
zBr
22 mars 2007 à 12:54
Salut

Juste une petite remarque en passant, ces dossiers font aussi partis de l'infection et peuvent être virés :-)

C:\Documents and Settings\Meva\Application Data\MetaCoolCast
C:\Documents and Settings\Dominique\Application Data\MetaCoolCast
C:\Documents and Settings\Lauriane\Application Data\BitDownload

O2 - BHO: (no name) - {DCE25B15-FBE5-7B59-060F-D7D4FE5A2C28} - C:\DOCUME~1\Rado\APPLIC~1\METACO~1\HtmBeep.exe (file missing)

a+
0
Réponse 11 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
22 mars 2007 à 13:15
Bonjour zBr,

Puis-je profiter de ta lecture, et donc de la connaissance de ce topic pour te questionner à ce sujet , s'il te plaît.

Dans le log lopXP-MH2, je lis ceci:
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
-command REG_SZ C:\Documents and Settings\All Users\Application Data\mealfordameninfo\IDOLSTORE.exe
-command REG_SZ C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek\Part Up.exe
-command REG_SZ C:\Documents and Settings\All Users\Application Data\math the regs itch\Vc 64.exe


C'est pourquoi au post # 6 , je remarquais ceci :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
"command"=-
C:\Documents and Settings\All Users\Application Data\math the regs itch\Vc 64.exe


Or je trouve ceci chez zeb. < https://forum.zebulon.fr/topic/118534-infect%C3%A9-pub-cid-r%C3%A9solu/ >:
Télécharger le fichier < http://www.freefilehosting.net/download/MTQxNTkz >

Yaurait-il un rapport entre math the regs itch et aftermath.bfu ?


Merci à toi.
Al.
0
Réponse 12 / 19
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007
22 mars 2007 à 13:38
Afideg,
je n'apprécie surement pas ces lignes à leur juste valeur, néanmoins j'applaudie Lyonnais92 pour son efficacité :-D

Lyonnais92,
je n'ai pas trouvé les lignes que tu me demandes de cocher sur Highjackthis. J4ai quand même suivi le reste de tes instructions. voici les rapports:

HIGHJACKTHIS
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:32:47, on 03/22/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rado\Mes documents\pgm\HiJackThis_v2.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.connect-we.fr/
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
0
Réponse 13 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
22 mars 2007 à 14:11
Infero

CITATION: Afideg, je n'apprécie surement pas ....

Réponse: Pas de problème .
Ces lignes ne te sont pas adressées ; elles sont adressées à zBr !

Exécute à la lettre ce que Lyonnais92 te demande.

Pour le reste, ferme les yeux.
Quoique c'est bien d'avoir vu et suivi ce conseil de zBr :
-C:\Documents and Settings\Lauriane\Application Data\BitDownload



Respectueusement.

Mais avec des internautes qui ne sont pas inscrits, je n'ai pas d'autres moyens de communiquer.

Bonne chance
à+..
Al.
0
Réponse 14 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
22 mars 2007 à 15:45
Bonjour à tous,

infero, dans les diverses interventions, une de mes questions est passée à l'as.

Ce dossier C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek avait-il disparu au reboot ?
Sinon, l'as tu supprimé depuis ?

Pour confirmation, tu as supprimé les 3 fichiers mentionnés par zBr ?

Il reste encore des clés de registre que Ccleaner n'a pas éliminé.
Essaye ceci :
Télécharge la dernière version gratuite de Jv16 Power Tools ici :
http://telechargement.zebulon.fr/201-jv16-powertools.html

démo animée
http://perso.orange.fr/rginformatique/section%20virus/demo%20jv%2016%20v2.htm (merci balltrap)

Installe le.


Double clique sur l'icône créée sur le bureau,

Clique sur outil registre,

Clique sur outils puis nettoyeur de registre.

Clique sur continuer puis démarrer.

A la fin du scan, clique sur sélectionner, choisis sélection spéciale, éléments qui peuvent être supprimmés sans risques.

Clique sur supprimer (en bas à droite)

Clique sur fermer autant de fois que nécessaire pour quitter Jv16.

Relance lopxpmH2. Regarde le rapport et copie uniquement la fin (environ 20 à 30 lignes qui commencent par :
## Popups autorisées

Comme ce post se termine, on peut causer un peu.

Merci à zBr, qui est un des meilleurs sinon le meilleur connaisseur en France de cette infection de son intervention. Ton infection est en fait une succession de réinfections. Nouvelles version de Messenger Plus!, accentuées par le fait que vous êtes plusieurs utilisateurs. Et, en plus, il y a eu des tentativs d'éradication. Je n'avais pas tout vu.

Afideg était intéressé par le fonctionnement de OTMoveIt. C'est un outil assez récent ici. C'est donc intéressant de voir en action ses propriétés. C'est d'ailleurs pourquoi la réponse à ma question du début du post est importante. Elle me permettra de savoir s'il suffit de changer le discours (rebooter l'ordi immédiatement) ou si je dois chercher un autre outil pour supprimmer un des dossiers de l'infection.

Afideg, je ne sais pas si zBr viendra répondre, mais, à mon avis, la réponse devrait être négative. Je ne connais pas le mécanisme exact de génération des noms des dossiers et des programmes. Mais j'ai l'impresssion d'un tirage aléatoire dans une base de noms liés à des titres de chansons (au moins en partie). Il n'y a pas deraison que, même dans 2 posts présentant cette infection, il y ait un lien autre que le hasard. D'autant plus que, je n'ai lu qu'en diagonale, mais il n'y a pas "math" dans le post de zébulon.
@+
0
Réponse 15 / 19
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
22 mars 2007 à 16:13
Salut Lyonnais,

J'aurais pu, comme l'a fait zBr, interférer sur la procédure, et ajouter ce qui "trainait" pour être supprimer.
J'avais remarqué, en effet. ( exeptionnellement lol ; puisque je suivais ce topic )

Comme d'ailleurs je l'ai fait partiellement sur un autre topic; et pour lequel tu as reçu MP ( pour éviter ce genre de stress, ou de panique injustifiée de l'internaute ).

Mais là n'était pas l'objet de mon post; et tu l'as fort bien dit. Merci.

Quant à " math " il est dans le script bfu désigné par Charles : "aftermath.bfu ".

Et "math the regs itch" se retrouve non traité ( voir JV16 ) dans le dernier log de lopXP.

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
command REG_SZ C:\Documents and Settings\All Users\Application Data\mealfordameninfo\IDOLSTORE.exe
command REG_SZ C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek\Part Up.exe
command REG_SZ C:\Documents and Settings\All Users\Application Data\math the regs itch\Vc 64.exe


D'où ma question à zBr en qui je fais confiance, il me répondra .
J'en suis sûr.

Bonne journée.
Al.
0
zBr
22 mars 2007 à 19:01
Salut à tous

Afideg, le nom du bfu dont tu parles n'a rien à voir avec ce nom de dossier, lop génère des noms de dossiers aléatoirement et il est très rare de voir sur deux pc différents, deux dossiers portant mot pour mot le même nom.
Il peut y avoir des similitudes ou des portions de noms semblables, ce qui va assez dans le sens du raisonnement de Lyonnais sur la manière dont le choix de création de chaque mots composant le nom du dossier se fait, mais à ma connaissance jamais le même nom en entier et séquences de mots agencées dans le même ordre.
Le bfu du lien a été adapté pour un nettoyage personnalisé et regroupe le nettoyage partiel de plusieurs infections différentes (Navipromo surtout).
Pure coïncidence à mon avis.

Quant à ces lignes, elles correspondent à ce qui a déjà été désactivé du lancement au démarrage via Msconfig:
* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
-command REG_SZ C:\Documents and Settings\All Users\Application Data\mealfordameninfo\IDOLSTORE.exe
-command REG_SZ C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek\Part Up.exe
-command REG_SZ C:\Documents and Settings\All Users\Application Data\math the regs itch\Vc 64.exe
Donc certaines de ces lignes peuvent faire référence à une infection passée et lointaine ou déjà traité, comme celà semble être le cas avec le dossier math the regs itch qui est absent dès le premier rapport MH2, en tout cas il n'y en a aucune trace dans le listing du dossier C:\Documents and Settings\All Users\Application Data.
Si vous tenez d'ailleurs, à éviter un *.reg pour supprimer ces lignes, il suffit après suppression des dossiers infectieux bien sur :-), de faire recocher par l'utilisateur ces lignes dans Msconfig et ensuite les faire fixer via hijackthis.
Pour lopMH2, le listing des dossiers prévaut beaucoup sur la détection dans le registre (hormis celle des 2 clés de démarrage), qui elle est plutôt utile pour fignoler le nettoyage, notemment la détection des popups autorisés avec IE et Firefox, la modification éventuelle des zones de sécurité, et d'autre modifs qui elles, semblent avoir disparues depuis les nouvelles adaptations de l'infection (BHO, R0 et/ou R1 dans hijackthis).

Merci à zBr, qui est un des meilleurs sinon le meilleur connaisseur en France de cette infection de son intervention.
Non, non et loin de là, je connais un peu son fonctionnement pour l'avoir testé en VM régulièrement, mais pas assez encore, faute des compétences nécessaires, pour mettre au point un outil de détection fiable à 100% :-).

a++
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602 > zBr
22 mars 2007 à 21:34
Bonsoir & merci à toi zBr pour ces précisions, pour cette leçon dont je tiendrai compte, et pour la réponse spécifique posée relativement à ce script "aftermath" pour BFU.

J'observe cependant qu'il contient la suppression de StubInstaller.exe, qui rôde souvent dans nos derniers trairements d'infection du genre CiD ou DriveCleaner; et situé le plus généralement en System32 ( voir FileDelete %SYSTEMDRIVE%\StubInstaller.exe dans le script ).

J'observe aussi et toujours ce fameux Adverts en ( FolderDelete %PROGRAMFILES%\Adverts ).

Je suis certain que ce script ( même très spécifique ) peut servir conjointement à d'autres en vigueur, pour améliorer (élargir) le plan d'action BFU.

Je resterai attentif dans la mesure de mes moyens.

Bonne nuit à toi
Et merci pour ta réponse .
Très respectueusement.
Al.
0
zBr > afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022
22 mars 2007 à 22:00
Bonsoir Afideg

Advert est bien lié à lop ou CiD, puisque c'est le dossier qui contient le désinstalleur du sponsor de messenger Plus 3 ou messenger Plus ! Live uniquement, il n'apparait pas par exemple dans les infections liées aux logiciel P2P (BitDowload....etc)
Quand dans ajout suppression de programmes on clic sur l'option "Désinstaller le sponsor uniquement" c'est le fichier uninst.exe contenu dans ce dossier qui est exécuté.

Pour StubInstaller.exe de mémoire il me semble qu'il est lié au Spyware 180Solutions et on le retrouve aussi dans certaines multi-infections Smitfraud assez anciennes.
Mais il n'est pas directement lié à CiD (lop).

Bonne fin de soirée.

a++
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602 > afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022
22 mars 2007 à 22:41
Re,

CITATION:
« Pour StubInstaller.exe on le retrouve aussi dans certaines multi-infections Smitfraud assez anciennes.
Mais il n'est pas directement lié à CiD (lop). »

Je peux être d'accord sur pied de ce qui est visible ( et à mon niveau d'observation - PC depuis avril 2005 ); mais ce que j'ai voulu dire ( sans trouver les mots adéquats pour m'exprimer ), c'est que je reste convaincu que StubInstaller.exe ( est une de ces poules pondeuses et couveuses surtout ) mérite la plus grande attention.

À preuve, il est pris en compte dans le script sus-cité ( bien qu'il n'apparaîsse pas facilement - ici grâce à un log DiagHelp- ), malgré une date antérieure à l'éclosion de CiD.

Tiens, regarde encore un exemple ici ( parmi "beaucoup" d'autres analogues ):

< https://forum.zebulon.fr/topic/118678-cidpub-intempestives-favoris-g%C3%A9nants/ >
Objet: CID:Pub intempestives & Favoris génants, HELP

Rapport de DiagHelp ( Aujourd'hui à 16h37 le 22/03/2007 )
Répertoire de C:\Program Files
22/03/2007 16:22 <REP> .
22/03/2007 16:22 <REP> ..
24/01/2007 09:59 <REP> Adobe
07/03/2007 12:08 <REP> Adverts
Répertoire de C:\
11/11/2001 00:00 68 096 diff.exe
27/08/2006 14:10 103 424 grep.exe
31/10/2005 16:56 700 416 StubInstaller.exe


À noter, que de notre côté, CCM/PCA/SOS, nous ne sommes pas gros consommateurs de DiagHelp.

Je le regrette d'autant plus, que j'avais bien tenté de l'utiliser moi-même; et chercher vainement des conseils pour le disséquer et en tirer profit.
Je n'ai trouvé personne, parmi celles questionnées, pour m'initier à ce bijou.
Mais je compte bien ( si ma santé le permet ) mater ce programme, et lever ses secrets ( ce que tout helper devrait réussir ).
Il semble, avec SilentRunners, donner de bonnes informations.


Je suis fatigué, je dois aller au lit.
Merci pour cette agréable entretien positif.
Bonne nuit
Al.
0
Réponse 16 / 19
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007
22 mars 2007 à 16:43
Re,

J'ai supprimé manuellement le fichier C:\Documents and Settings\All Users\Application Data\Dumb Size Amok Seek
De même pour les 3 fichiers cités par zbr.

Voici le rapport:
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************


Merci encore pr ton aide et pr la participation d'afideg et de zbr
@+
0
Réponse 17 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
22 mars 2007 à 16:55
Re,

je crois que tout est OK désormais.

As tu utilisé jv16 ?

Tu supprimes de ton ordi tout ce qui à trait à lopxp, hijackthis et jv16.

Tu n'as pas Spybot search and Destroy qui complète ad aware et AVG antispy. Tu les mets à jour et tu les fais apsser régulièrement (et tu supprimes ce qu'ils trouvent). Tu vaccine aussi avec Spybot;

Tu nettoies aussi régulièrement avec Ccleaner;

Tu cherches et réapre les erreurs de registre régulièrement aussi.

@+
0
Réponse 18 / 19
infero Messages postés 8 Date d'inscription mercredi 21 mars 2007 Statut Membre Dernière intervention 6 septembre 2007
22 mars 2007 à 17:05
Re,

j'ai bien utilisé JV16 mais j'ai dû m'y reprendre 4 ou 5 fois pour qu'il arrive à supprimer les éléments selectionnés sans planter.

sinon tout a l'air impec maintenant.
@+
0
Réponse 19 / 19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
22 mars 2007 à 17:40
Re,

merci beaucoup de ton aide et bon surf.

Merci aussi à bZr pour ses interventions sur lop qui m'ont beaucoup appris.
0

Discussions similaires

Encore les CiD
doudoudim -
doudoudim -

18 réponses
Publicités : même son coupé, elles sont à fond
Leboss104 -
loisou17 -

5 réponses
apparation intempestives de pub type site de rencontre et photo dans le même ton
Crokino -
Crokino -

6 réponses
Candy crush
eric2850 -
MPMP10 -

6 réponses
appel intrusif sur Skype
FAMATHELY -
Utilisateur anonyme -

3 réponses