Cissou555 Fermé

Question

Transfert de topic

cisou555 (lundi 26 mars 2007 à 15:20:09)
 
bonjorg un probleme avec le virus cid peux tu m aider voici mon rapport 
Logfile of HijackThis v1.99.1 
Scan saved at 16:10:37, on 26/03/2007 
Platform: Windows XP SP2 (WinNT 5.01.2600) 
MSIE: Internet Explorer v7.00 (7.00.6000.16414) 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\System32\ibmpmsvc.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exe 
C:\WINDOWS\System32\QCONSVC.EXE 
C:\WINDOWS\system32\TpKmpSVC.exe 
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe 
C:\Program Files\iTunes\iTunesHelper.exe 
C:\Program Files\QuickTime\qttask.exe 
C:\Program Files\MSN Messenger\msnmsgr.exe 
C:\Program Files\Messenger\msmsgs.exe 
C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe 
C:\Program Files\iPod\bin\iPodService.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe 
C:\Program Files\Save\Save.exe 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
c:\progra~1\intern~1\iexplore.exe 
C:\Program Files\MSN Messenger\usnsvc.exe 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Documents and Settings\jack\Bureau\hijackthis\HijackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lephoceen.fr/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll 
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll 
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll 
O2 - BHO: (no name) - {D7C6EE31-182B-2F95-4439-7B0D4370F899} - C:\DOCUME~1\jack\APPLIC~1\BIASAC~1\army multi.exe (file missing) 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [NameMfcdJumpKind] C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Meta dale.exe 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background 
O4 - HKCU\..\Run: [neufbox_reminder] "C:\Program Files\Kit ADSL\Wizard\PostInstall_Checker.exe" -r 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized 
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe 
O4 - HKCU\..\Run: [Bonecast] C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe 
O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" 
O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linkprd.exe /res 
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart 
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll 
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll 
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) 
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O11 - Options group: [INTERNATIONAL] International* 
O11 - Options group: [JAVA_IBM] Java (IBM) 
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll 
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab 
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab 
O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab 
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.5 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 
O17 - HKLM\System\CCS\Services\Tcpip\..\{55F0021F-53AE-4E32-B443-506094A3A232}: NameServer = 84.103.237.143 86.64.145.143 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL 
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL 
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll 
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll 
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultrarpcsb.exe 
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe 
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe 
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) 
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE 
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe


Al 


Cissou555,

Voici la première partie de la suite :
1°- Prends connaissance du contenu suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf  
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme BlackLight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip   
« Fichier » > "Enregistrer la cible (du lien) sous... " >  et enregistre-le "sur ton bureau".
Fais un clic droit  sur "navilog1.zip" et choisis "tout extraire" 
Fais l'extraction dans un dossier propre à lui ( je le fais sur le bureau ) 
Ensuite double-clic sur "navilog1.bat " ( qui est donc sur ton bureau ) 
Laisse-toi guider. Au menu principal, choisis 1 et valide. 
( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ) 
Patiente jusqu'au message : *** Analyse : Terminé le ..... *** 
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Copier/coller l'intégralité dans une réponse. 
Referme le bloc-notes. 


Merci

bob · Answer

refait tous ton system windows xp , frmate et installe , sinon c'est la prise de tete assuré................;

cisou555 · Answer

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 03/29/07 at 17:40:32.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ........................................................................
[+] Hidden file: c:\WINDOWS\system32\czphvsbxuk.dat (Action: none)
[+] Scanning for hidden items ...
[+] Hidden application: C:\windows\system32\czphvsbxuk.exe (Action: none)
[+] Scanning for hidden items ...
[+] Hidden file: c:\WINDOWS\system32\czphvsbxuk_nav.dat (Action: none)
[+] Scanning for hidden items ...
[+] Hidden file: c:\WINDOWS\system32\czphvsbxuk_navps.dat (Action: none)
[+] Scanning for hidden items .................
[+] Scan complete.
[+] Summary: 4 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 03/29/07 at 17:50:55 (return code = 1).
MERCI

afideg · Answer

Bonsoir Cisou555

Ce rapport n'est pas ce que j'avais proposé .

Si tu ne sais pas lire, je ne peux rien pour toi.

Amèrement désolé.

Tente de relire le premier post, là où je demande d'exécuter une  procédure d'analyse préliminaire.

Mais je crois que ce problème ne te semble pas trop urgent.
Prends tout ton temps.

Al.

afideg · Answer

Re, C'est bien mieux. Merci. Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie [ Soit tu copies/colles le contenu de la procédure dans un fichier texte(-que tu mets sur le bureau-) pour pouvoir le consulter en mode sans échec ] ou imprime donc la procédure suivante pour ne rien oublier . 2°- Redémarrer en mode sans échec C-à-d. -Redémarrer votre ordinateur, et dès que les premières lignes apparaissent, « mitrailler » ( = cliquer à répétition ) la touche F8 de façon à ce qu’un menu apparaisse. -Sélectionner à l’aide des flèches « Mode sans échec » et appuyer sur [Enter]. Un complément d'aide ici : :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Double clique sur navilog1.bat Laisse-toi guider. Au menu principal, choisis 2 et valide Laisse toi guider et réponds aux questions éventuelles Ton bureau va disparaître, c'est normal. Patiente jusqu'au message : *** Nettoyage Terminé le ..... *** Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. Sauvegarde le rapport de manière à le retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » ) Referme le bloc-notes. Ton bureau va réapparaître Redémarre normalement et copier/coller l'intégralité dans une réponse. Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer et valide. Cela te fera apparaître ton bureau •Puis, clic sur "Démarrer"/"panneau de configuration"/"options internet" - onglet "Contenu" puis bouton [Certificats...] et si tu trouves ceci, en particulier dans [Éditeurs ... approuvés], (mais regarde ailleurs aussi) : electronic-group, egroup, Montorgueil VIP, "Sunny Day Design Ltd" ... , tu les supprimes. ScanOnline PANDA Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm > Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup. Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 > •A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse •Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index > •Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. Merci. Al.

afideg · Answer

Re,


J'ai commis une erreur.

voici ce qu'il fallait saisir czphvsbxuk ( 2 fois )

Redémarre en mode sans échec . 

Double clique sur navilog1.bat 
Laisse-toi guider. 
Au menu principal, <souligne>choisis 4 et valide 
Ton bureau va disparaitre, c'est normal. 

Il va te demander de "saisir le nom de fichier" 
Saisis ce qui est en gras ci-après et rien d'autre puis valide: czphvsbxuk, 

Le fix va te demander de ressaisir czphvsbxuk, fais-le et valide. 
Laisse-toi guider et réponds aux questions éventuelles 
Patiente jusqu'au message : "Nettoyage termine le ..... ". 

Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver ( par ex. sur le bureau et dénomme-le clean2) 
Referme le bloc-notes. 
Ton bureau va réapparaître 

•Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le "gestionnaire de tâches". 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Taper « explorer » et valider. Cela fera apparaître ton bureau 


Après quoi, relance l'option 1 en mode normal, et poste le rapport.

afideg · Answer

Bonjour cisou555 Voici la suite < Télécharge LopXPMH2 Bêta sur ton Bureau. < http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier « lopxpMH.bat ». Poste le contenu du rapport qui va s'ouvrir. Merci Al.

cissou555 · Answer

Rapport fait à 18:56:47,80 le 30/03/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 25/02/2003 18:19 . 25/02/2003 18:19 .. 25/02/2003 18:19 Identities 25/02/2003 18:19 Microsoft 10/04/2005 10:05 Sonic 10/04/2005 10:07 Symantec 25/02/2003 18:19 62 desktop.ini 1 fichier(s) 62 octets 6 R‚p(s) 11ÿ221ÿ872ÿ640 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 25/02/2003 18:19 . 25/02/2003 18:19 .. 10/04/2005 09:57 BVRP Software 25/02/2003 18:19 Microsoft 10/04/2005 09:48 8ÿ224 GDIPFONTCACHEV1.DAT 25/02/2003 19:06 0 IconCache.db 2 fichier(s) 8ÿ224 octets 4 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\All Users\Application Data 25/02/2003 18:05 . 25/02/2003 18:05 .. 06/09/2005 15:36 Apple Computer 09/07/2005 11:44 CyberLink 25/03/2007 20:01 dogflawnamemfcd 20/09/2006 19:32 Google 10/04/2005 10:05 IBM 12/07/2005 21:43 Kodak 02/07/2005 08:44 Messenger Plus! 25/02/2003 18:05 Microsoft 30/10/2005 20:08 PlatformSaveDrawJoy 06/09/2005 15:36 QuickTime 25/02/2003 18:22 SBSI 22/07/2005 14:13 Spybot - Search & Destroy 10/04/2005 10:07 Symantec 06/05/2006 19:10 Windows Genuine Advantage 23/11/2006 09:35 Windows Live Toolbar 25/02/2003 18:05 62 desktop.ini 05/08/2006 16:41 1ÿ763 QTSBandwidthCache 2 fichier(s) 1ÿ825 octets 17 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\Default User\Application Data 25/02/2003 18:05 . 25/02/2003 18:05 .. 23/06/2005 11:04 Identities 25/02/2003 18:05 Microsoft 23/06/2005 11:04 Sonic 23/06/2005 11:04 Symantec 25/02/2003 18:05 62 desktop.ini 1 fichier(s) 62 octets 6 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 25/02/2003 18:05 . 25/02/2003 18:05 .. 23/06/2005 11:04 BVRP Software 23/06/2005 11:04 Microsoft 23/06/2005 11:04 13ÿ104 GDIPFONTCACHEV1.DAT 23/06/2005 11:04 0 IconCache.db 2 fichier(s) 13ÿ104 octets 4 R‚p(s) 11ÿ221ÿ868ÿ544 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\jack\Application Data 24/06/2005 07:16 . 24/06/2005 07:16 .. 09/07/2005 11:52 Adobe 06/09/2005 15:37 Apple Computer 01/05/2006 18:37 Azureus 27/01/2007 13:42 BitTorrent 09/01/2007 15:30 BSplayer 09/07/2005 22:37 COWON 21/07/2005 18:46 Cyberlink 17/03/2007 10:58 dvdcss 20/05/2006 20:28 EoRezo 11/10/2005 20:01 Google 24/07/2005 22:06 Help 04/07/2005 16:57 IBM 24/06/2005 07:16 Identities 09/07/2005 11:52 InterTrust 22/07/2005 14:11 Lavasoft 05/01/2006 21:43 LimeWire 02/07/2005 08:18 Macromedia 24/06/2005 07:16 Microsoft 06/05/2006 07:06 OpenOffice.org2 31/08/2005 19:13 ppStream 02/07/2005 08:43 ProcDate 11/07/2005 23:12 Real 15/03/2007 23:07 Screenshot Sender 24/06/2005 07:16 Sonic 24/01/2006 21:22 Sun 24/06/2005 07:16 Symantec 02/07/2005 08:35 vlc 24/06/2005 07:16 62 desktop.ini 05/08/2005 07:17 560 ViewerApp.dat 2 fichier(s) 622 octets 29 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\jack\Local Settings\Application Data 24/06/2005 07:16 . 24/06/2005 07:16 .. 09/07/2005 12:08 Ahead 06/09/2005 15:37 Apple Computer 24/06/2005 07:16 BVRP Software 20/09/2006 20:03 Google 24/07/2005 22:06 Help 09/09/2005 17:17 Identities 24/06/2005 07:16 Microsoft 03/12/2005 14:42 Pixoria 16/09/2005 12:54 Shareaza 02/07/2005 06:56 32ÿ768 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 24/06/2005 07:16 23ÿ296 GDIPFONTCACHEV1.DAT 12/07/2005 21:54 2ÿ205ÿ456 IconCache.db 3 fichier(s) 2ÿ261ÿ520 octets 11 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\LocalService\Application Data 25/02/2003 18:19 . 25/02/2003 18:19 .. 25/02/2003 18:19 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 25/02/2003 18:19 . 25/02/2003 18:19 .. 25/02/2003 18:19 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 25/02/2003 18:19 . 25/02/2003 18:19 .. 25/02/2003 18:19 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 25/02/2003 18:19 . 25/02/2003 18:19 .. 25/02/2003 18:19 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 11ÿ221ÿ864ÿ448 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 25/02/2003 18:17 . 25/02/2003 18:17 .. 23/06/2005 11:04 Identities 25/02/2003 18:17 Microsoft 23/06/2005 11:04 Sonic 23/06/2005 11:04 Symantec 25/02/2003 18:17 62 desktop.ini 1 fichier(s) 62 octets 6 R‚p(s) 11ÿ221ÿ860ÿ352 octets libres Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 25/02/2003 18:17 . 25/02/2003 18:17 .. 23/06/2005 11:04 BVRP Software 23/06/2005 11:00 Microsoft 23/06/2005 11:04 13ÿ104 GDIPFONTCACHEV1.DAT 23/06/2005 11:04 0 IconCache.db 2 fichier(s) 13ÿ104 octets 4 R‚p(s) 11ÿ221ÿ860ÿ352 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\AB52905191A5025D.job RÚ2cªðG—½<Ø•ÅLF Þ < s "€!× < c : \ d o c u m e ~ 1 \ j a c k \ a p p l i c ~ 1 \ p r o c d a t e \ t h i r d h e a r t s e t t i n g s . e x e j a c k 0 Ï < C:\WINDOWS\Tasks\BMMTask.job »é†È0ÿL‰¹º6/cF Þ s 4 À! * C : \ P R O G R A ~ 1 \ T h i n k P a d \ U T I L I T ~ 1 \ B M M T A S K . E X E C : \ P R O G R A ~ 1 \ T h i n k P a d \ U T I L I T ~ 1 A d m i n i s t r a t e u r 0 Ï 0 Ï C:\WINDOWS\Tasks\MP MP inexploitable ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C s'appelle IBM_PRELOAD Le num‚ro de s‚rie du volume est 5073-8444 R‚pertoire de C:\Program Files 29/03/2007 20:09 . 29/03/2007 20:09 .. 09/07/2005 11:52 Adobe 15/02/2007 22:31 Adverts 31/07/2005 18:27 Ahead 03/08/2005 15:41 Alcohol Soft 10/04/2005 09:58 ATI Technologies 10/06/2006 07:34 Azureus 26/02/2007 21:34 BitTorrent 17/05/2006 19:43 CasinoOnNet 26/03/2007 09:51 CCleaner 08/01/2007 13:35 CD Audio Reader Filter 09/10/2005 19:05 Championship Manager 01-02 01/10/2005 10:13 Cheewoo 25/02/2003 18:10 ComPlus Applications 10/04/2005 09:57 CONEXANT 03/08/2005 17:07 Cyanide 09/07/2005 11:44 CyberLink 09/07/2005 11:45 CyberLink DVD Solution 16/10/2005 20:29 DesktopPlant 10/04/2005 09:57 Digital Line Detect 08/01/2007 13:34 DirectVobSub 31/08/2005 22:35 DivX 08/01/2007 13:35 DScaler5 08/01/2007 13:35 DS-MP3 Source 09/10/2005 19:06 EA SPORTS 19/03/2007 10:34 EcoLotofootSha 30/03/2007 08:37 eMule 01/07/2006 20:39 eoRezo 17/09/2005 19:39 ESET 02/09/2006 16:50 Everest Casino 08/01/2007 13:35 ffdshow 01/04/2006 19:40 Fichiers communs 04/08/2005 20:34 Friendly Technologies 04/02/2007 21:54 Google 08/01/2007 13:35 Haali 10/04/2005 10:02 IBM 10/04/2005 10:05 IBM DLA 10/04/2005 10:04 IBM RecordNow! 16/02/2007 17:56 Internet Explorer 10/04/2005 10:05 InterVideo 05/08/2006 16:36 iPod 05/08/2006 16:38 iTunes 20/01/2006 10:27 Java 08/05/2006 13:27 jeux 27/07/2005 19:30 JoWooD 25/09/2005 17:49 JVTorrent 06/09/2005 13:35 Kaspersky Lab 20/07/2006 20:05 Kit ADSL 19/07/2005 16:53 Kodak 19/03/2007 10:44 Lavasoft 07/01/2007 19:53 LimeWire 26/02/2007 21:36 Loto1N2 13/02/2006 20:59 MediaGateway 09/08/2006 18:04 MegaSpoof 02/07/2005 08:26 Messenger 15/03/2007 23:05 Messenger Plus! Live 22/04/2006 08:52 MessengerPlus! 3 01/06/2006 21:26 Microsoft AntiSpyware 25/02/2003 18:14 microsoft frontpage 05/08/2005 15:35 ModemAdsl 25/02/2003 18:11 Movie Maker 25/02/2003 18:09 MSN 25/02/2003 18:10 MSN Gaming Zone 19/03/2007 10:21 MSN Messenger 19/11/2006 00:55 MSXML 4.0 25/02/2003 18:11 NetMeeting 10/04/2005 09:57 NetWaiting 01/10/2005 10:05 NFO viewer 06/05/2006 07:00 OpenOffice.org 2.0 08/01/2007 13:35 OpenSource Flash Video Splitter 16/12/2006 01:37 Outlook Express 01/02/2007 20:24 PacificPoker 23/05/2006 20:03 PartyGaming 08/10/2005 10:03 PartyPoker 10/04/2005 10:16 PC-Doctor for Windows 05/01/2006 10:29 PDF Editeur 2 21/03/2007 19:24 PKR 19/03/2007 10:21 PPLive 02/10/2005 19:34 ppStream 25/03/2007 20:01 ProcDate 05/08/2006 16:40 QuickTime 22/04/2006 09:17 RADVideo 11/07/2005 23:12 Real 08/01/2007 13:35 RealMedia 30/03/2007 18:08 Save 25/02/2003 18:10 Services en ligne 08/01/2007 13:35 SHOUTcast Source 10/04/2005 10:04 Sonic 04/08/2005 19:47 Sony Corporation 21/10/2005 09:42 Sports Interactive 10/06/2006 07:58 Spybot - Search & Destroy 06/09/2005 13:34 Symantec 10/04/2005 09:34 Synaptics 10/04/2005 09:53 ThinkPad 11/03/2004 13:27 40ÿ960 Uninstall_CDS.exe 02/07/2005 08:09 USB Driver-Express 19/07/2005 17:16 VideoLAN 09/01/2007 15:30 Webteh 01/06/2006 21:26 Windows Defender 27/01/2007 20:53 Windows Live Toolbar 12/08/2006 09:49 Windows Media Player 25/02/2003 18:09 Windows NT 12/03/2006 19:44 WinISO 24/07/2005 22:06 WinRAR 25/02/2003 18:14 xerox 1 fichier(s) 40ÿ960 octets 105 R‚p(s) 11ÿ221ÿ856ÿ256 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow mysearchnow.com REG_SZ www.mysearchnow.com REG_SZ lop.com REG_BINARY www.lop.com REG_BINARY searchweb2.com REG_SZ www.searchweb2.com REG_SZ dns-look-up.com REG_BINARY www.dns-look-up.com REG_BINARY *.videosexe-fr.com REG_BINARY www35.ratp.info REG_BINARY *.cache.yacast.fr/ REG_BINARY *.webmessenger.msn.com/ REG_BINARY *.live.com/ REG_BINARY *.gallery.microsoft.com/ REG_BINARY *.entertainment.msn.com/radio REG_BINARY *.my.msn.com/video REG_BINARY *.launchcast.launch.yahoo.com/radio REG_BINARY *.stream1.adsertion.com/radio REG_BINARY www.wlsam.com REG_BINARY www.streamaudio.com REG_BINARY *.windowsmedia.com REG_BINARY netbios-wait.com REG_SZ www.netbios-wait.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] NameMfcdJumpKind REG_SZ C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Meta dale.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Bonecast REG_SZ C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonecast] command REG_SZ C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NameMfcdJumpKind] command REG_SZ C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Roam Tons.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

afideg · Answer

cisou555

Patiente encore un peu, j'arrive avec la procédure à suivre.

Comment se comporte le PC pour le moment ?

Al.

cisou555 · Answer

il y a moins de pub mais il y a en a encore merci atres vite

afideg · Answer

Me voilà enfin. Prends ton temps. Procédure DESINFECTION : 1°- télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 > Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > Ne pas l'utiliser tout de suite . 2°- Restauration du système •- Clique droit sur "Poste de travail" -> "Propriétés" -> onglet "Restauration du système" -> tu coches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "Oui". •- Arrête et puis redémarre le PC •- Ensuite, tu décoches "Désactiver la Restauration du système sur tous les lecteurs" -> "Appliquer" -> "OK". 3°- Crée un nouveau document texte. Pour cela : "clic-droit" de souris sur un espace libre du bureau > "Nouveau" > "Document Texte" ( vers le bas du petit menu ). - Ouvre-le, et "copie/colle" dedans ce qui est en caractères gras ci-dessous, ( copie tout d'une traite, y compris la ligne REGEDIT4 - avec un intervalle après REGEDIT4 - ) ( attention: il faut bien coller dans l'extrême coin supérieur gauche !! ) : REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Bonecast"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NameMfcdJumpKind"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg] "Bonecast"=- "NameMfcdJumpKind"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow] "mysearchnow.com"=- "www.mysearchnow.com"=- "lop.com"=- "www.lop.com"=- "searchweb2.com"=- "www.searchweb2.com"=- "dns-look-up.com"=- "www.dns-look-up.com"=- "*.videosexe-fr.com"=- "www35.ratp.info"=- "*.cache.yacast.fr"=- "*.webmessenger.msn.com"=- "*.live.com"=- "*.gallery.microsoft.com"=- "*.entertainment.msn.com"=- "*.my.msn.com"=- "*.launchcast.launch.yahoo.com"=- "*.stream1.adsertion.com"=- "www.wlsam.com"=- "www.streamaudio.com"=- "*.windowsmedia.com"=- "netbios-wait.com"=- "www.netbios-wait.com"=- Puis clic "fichier" > "enregistrer sous" > choisir " sur le bureau " Dans "Nom du fichier" : taper par exemple " fix1.reg " Dans "Type de fichier" : choisir "tous les fichiers" Clic sur [enregistrer] L'icône de "fix1.reg" doit ressembler à cela "src="https://www.hiboox.com " mce_src="https://www.hiboox.com " 3°- ATTENTION: •- Copie ce qui suit dans un fichier texte via Bloc-Notes ( tu n'auras plus accès ni à IE, ni à CCM durant la manip qui suit ) - Pour cela : Ouvrir Bloc-Notes > copier, puis y coller le texte de la procédure ci-dessous. Clic sur Fichier > Enregistrer sous …choisir « Bureau » > Nom du fichier = désinfection.txt ( par exemple ) > clic sur [Enregistrer] > l’icône du fichier texte doit être visible sur le bureau . ) •- Redémarre en mode sans échec (choisis ta session habituelle, et non pas le compte "Administrateur" ou autre) :< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > 4°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes: -O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing) -O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) -O2 - BHO: (no name) - {D7C6EE31-182B-2F95-4439-7B0D4370F899} - C:\DOCUME~1\jack\APPLIC~1\BIASAC~1\army multi.exe (file missing) -O4 - HKLM\..\Run: [NameMfcdJumpKind] C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd\Meta dale.exe -O4 - HKCU\..\Run: [Bonecast] C:\DOCUME~1\jack\APPLIC~1\ProcDate\1joy.exe -O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" -O4 - HKCU\..\Run: [Instant Access] C:\WINDOWS\system32\linkprd.exe /res -O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) -O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) -O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] 5°- Assure toi d'avoir accès aux dossiers/fichiers cachés : Ouvrir un dossier, n'importe lequel. Aller dans : Outils/Options des dossiers/Affichage et - cocher "afficher les dossiers et fichiers cachés", - décocher "masquer les extensions des fichiers dont le type est connu". - décocher "masquer les fichiers protégés du système d'exploitation (recommandé)" •- puis "appliquer" et "ok" 6°- Désinstalle ces applications (si tu les trouves) Fais démarrer>>panneau de configuration>>"ajout/suppr de programme" et clique une fois sur ceux-là: "Adverts" que tu supprimes. "ProcDate" que tu supprimes. Puis sur "MessengerPlus! 3" -Clique sur le bouton "Modifier/Supprimer" -Sélectionne la 1ère option : "Désinstaller le sponsor uniquement". -Clique ensuite sur "Désinstaller" Comme ça tu peux toujours utiliser ton programme mais sans être pollué de tout un tas de cochonneries. 7°- Supprime les dossiers incriminés (s'ils existent encore) C:\Program Files\Adverts <--- le dossier C:\Program Files\BitTorrent <--- le dossier C:\Program Files\eoRezo <--- le dossier C:\Program Files\MessengerPlus! 3 <--- le dossier C:\Program Files\ProcDate <--- le dossier C:\Documents and Settings\All Users\Application Data\dogflawnamemfcd <--- le dossier C:\Documents and Settings\jack\Application Data\BitTorrent <--- le dossier C:\Documents and Settings\jack\Application Data\ProcDate <--- le dossier 8°- "démarrer"/"exécuter" > copier/coller ceci : cmd /c del /a C:\WINDOWS\Tasks\AB52905191A5025D.job et valide par [entrée]. 9°- double-clique sur " fix.reg " pour l’exécuter => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ? " Si c'est bien le cas, clique sur "oui" 10°- Nettoyage des fichiers inutiles Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >. Faire ça tous les jours. Utiliser: ATF-Cleaner lire le tuto. 11°- Redémarre normalement. 12°- Clic sur "Démarrer"/"panneau de configuration"/"options internet" - onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs : electronic-group egroup Montorgueil VIP "Sunny Day Design Ltd" Tu les supprimes. 13°- Poste un dernier log HJT Relance un scan Panda et donne son rapport. Dis-moi comment se comporte le PC . ( As-tu toujours les mêmes soucis ? ) SVP Merci pour ton courage. Al

afideg · Answer

Bonsoir cisou555 J'ai besoin de lire ces deux rapports SVP; pour vérifier l'action/efficacité des manipulations demandées et effectuées. Je compte sur toi. Supprime ces outils devenus inutiles : -LopXPMH2 Bêta -Navifix/navilog1.zip et ses composants : (* blbetac.exe * blbeta.exe * navilog1.bat * Process,exe * regnavi.reg * traiteregfsbl.bat * traitementfsbl.bat * le dossier backupnavi ) Crèe un nouveau point de restauration, vois comment : < http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm > < http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html > Al.

Cissou555

11 réponses

Newsletters