Win32:Agent-EIE [Trj]

Résolu/Fermé
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008 - 30 avril 2007 à 00:00
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 8 mai 2007 à 09:23
Bonjour à toutes et tous.

Ce n'est pas de gaieté de coeur que je poste ici, mais bon...


Voilà mon problème, et comme j'ai pu voir je ne suis pas le seul.

J'ai chopé un trojan du nom de win32.agent EIE. J'ai vu dans d'autres sujets qu'il fallait télécharger hijackthis (chose que j'ai faite) et dont voici le rapport


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:58:29, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\windserv.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\aimmsn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Propriétaire\Bureau\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Road Mail Bits Camp] C:\Documents and Settings\All Users\Application Data\thunk poll road mail\COPYFAST.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinServ 32] windserv.exe
O4 - HKLM\..\RunServices: [WinServ 32] windserv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [64 HTM] C:\DOCUME~1\PROPRI~1\APPLIC~1\gplhelp\Default Pure Axis.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A92D95F-644E-4F08-BBE7-468E337AEE38}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{510B3BF9-2109-4D4C-AFB8-2C07F9C5F102}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{D39F22D0-4DB6-4922-AB3F-3C148D82C112}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.23 85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A92D95F-644E-4F08-BBE7-468E337AEE38}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.23 85.255.112.74
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: rdihost - {B5BA1A40-C539-424B-94FB-154F0A98EF0A} - rdihost.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AIM (AIMMSN) - Unknown owner - C:\WINDOWS\aimmsn.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programmes\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/PROPRI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

23 réponses

badman252 Messages postés 54 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 30 décembre 2007 2
30 avril 2007 à 09:42
Salut. Tu as essayé avec d'autres antivirus?
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 avril 2007 à 09:48
Télécharge LopXPMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
30 avril 2007 à 20:48
Merci pour les conseils, mais apparemment le problème est résolu...

J'ai téléchargé a2square et je lui ai fait analyser tout mon système. Depuis, après redémarrage, plus de virus.

Cependant, je ne préfère pas locker le sujet tout de suite au cas où le trojan referait surface.
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 avril 2007 à 21:34
tu fais comme tu veux mais tu es infecté
si tu veux continuer, reposte moi un hijack pour que je vérifie si les redirections vers l'Ukraine sont encore là ....
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
3 mai 2007 à 15:28
Bon et bien, tu as raison je pense que le trojan est toujours là. Avast m'a réalerté de sa présence. Par contre a2square a dû faire qqch, car ma mes navigateurs tournent normalement.

Voici un log hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:23:58, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\aimmsn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Programmes\Ares\Ares.exe
C:\Program Files\QuickZip4\QuickZip.exe
C:\Documents and Settings\Propriétaire\Bureau\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Road Mail Bits Camp] C:\Documents and Settings\All Users\Application Data\thunk poll road mail\COPYFAST.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinServ 32] windserv.exe
O4 - HKLM\..\RunServices: [WinServ 32] windserv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [64 HTM] C:\DOCUME~1\PROPRI~1\APPLIC~1\gplhelp\Default Pure Axis.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ares] "D:\Programmes\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A92D95F-644E-4F08-BBE7-468E337AEE38}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{510B3BF9-2109-4D4C-AFB8-2C07F9C5F102}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{D39F22D0-4DB6-4922-AB3F-3C148D82C112}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.23 85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A92D95F-644E-4F08-BBE7-468E337AEE38}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.23 85.255.112.74
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: rdihost - {B5BA1A40-C539-424B-94FB-154F0A98EF0A} - rdihost.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AIM (AIMMSN) - Unknown owner - C:\WINDOWS\aimmsn.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programmes\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/PROPRI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
3 mai 2007 à 18:49
on va parer au plus pressé, les redirections...

Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A92D95F-644E-4F08-BBE7-468E337AEE38}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{510B3BF9-2109-4D4C-AFB8-2C07F9C5F102}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{D39F22D0-4DB6-4922-AB3F-3C148D82C112}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.23 85.255.112.74
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A92D95F-644E-4F08-BBE7-468E337AEE38}: NameServer = 85.255.116.23,85.255.112.74
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.23 85.255.112.74

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HijackThis
Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
3 mai 2007 à 22:25
Voilà, j'ai suivi à la lettre ce que tu m'as indiqué jusqu'à la reconfiguration de ma connexion.

Par contre, après avoir redémarré à la suite du fix avec Fixwareout, avast m'a signalé un nouveau trojan. Il m'a demandé pour le réparer, ce que j'ai fait.

Voici le nouveau log hijackthis :


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:58:20, on 03/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\aimmsn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\windserv.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
D:\Programmes\Ares\Ares.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Propriétaire\Bureau\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Road Mail Bits Camp] C:\Documents and Settings\All Users\Application Data\thunk poll road mail\COPYFAST.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinServ 32] windserv.exe
O4 - HKLM\..\RunServices: [WinServ 32] windserv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [64 HTM] C:\DOCUME~1\PROPRI~1\APPLIC~1\gplhelp\Default Pure Axis.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ares] "D:\Programmes\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: rdihost - {B5BA1A40-C539-424B-94FB-154F0A98EF0A} - rdihost.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AIM (AIMMSN) - Unknown owner - C:\WINDOWS\aimmsn.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programmes\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/PROPRI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
4 mai 2007 à 09:04
normal que tu aies encore des alertes, on a seulement supprimé une partie de l'infection
on continue
Note comment démarrer en mode sans échec
https://docs.microsoft.com/en-us/?mfr=true

Tu vas t'en servir sans accès à internet.

1/ Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

2* Crée un nouveau document texte :
clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
Ouvre-le et copie-colle dedans de ce qui est en italique ci-dessous, (copie tout d'un trait) :
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Road Mail Bits Camp"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"64 HTM"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"netsearchsoft.com"=-
"www.netsearchsoft.com"=-
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)
gplhelp

4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :
C:\Documents and Settings\All Users\Application Data\thunk poll road mail
C:\Documents and Settings\Propriétaire\Application Data\ gplhelp
C:\Documents and Settings\Propriétaire\Application Data\NetPumper
C:\Program Files \gplhelp





recache tes dossiers et fichiers en effectuant la manoeuvre inverse


5/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :
del /a C:\WINDOWS\Tasks\BD108C6181E7010D.job

valide par entrée, puis ferme la fenêtre de commande.

6/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

7/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement . Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation

relancer hijack

cocher ces lignes et clic ensuite sur Fix Checked

O4 - HKLM\..\Run: [WinServ 32] windserv.exe
O4 - HKLM\..\RunServices: [WinServ 32] windserv.exe
O21 - SSODL: rdihost - {10F5DEB0-F1E7-416B-A3E1-B412F3AD2B33} - rdihost.dll (file missing)
O23 - Service: AIM (AIMMSN) - Unknown owner - C:\WINDOWS\aimmsn.exe (file missing)
-----------
Faire
Démarrer==> Exécuter ==> Ecrire: services.msc
Dans le tableau qui s’ouvre chercher : AIM (AIMMSN)
Double-clic dessus==> dans type de démarrage ==>Désactiver ==> en dessous
Arrêter <== si l'option est accessible
------
Dans hijack
= Open the misc tools section
= Delete a NT service
= coller dans la case ce texte en gras : AIM (AIMMSN)
= ok
si message erreur, pas de problème

et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées
= redémarrer

et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
4 mai 2007 à 18:36
Bon et bien j'ai suivi à la lettre tout ce que tu m'as indiqué (ce n'était pas une mince affaire mais j'y suis arrivé), cependant tout n'a pas fonctionné comme tu me l'a précisé.

Tout d'abord, dans le 2, je n'ai pas vu de texte en italique, j'ai donc fait un copier/coller de ce qu'il y avait en dessous.

Ensuite, je n'ai pas pu désinstaller via "Ajout/Suppression de programmes" gplhelp, car il n'était pas présent.

Quant aux points 5 et 6, je ne pense pas qu'ils aient fonctionné correctement, car j'ai eu un mess d'erreur pour le 5, et le point 6 n'a tout simplement pas fonctionné.

Le reste s'est dans l'ensemble déroulé correctement. Je reposte donc un nouveau log d'hijackthis qui suit :



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:28:36, on 04/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\Program Files\Apoint\Apntex.exe
D:\Programmes\Ares\Ares.exe
C:\WINDOWS\aimmsn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Propriétaire\Bureau\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Road Mail Bits Camp] C:\Documents and Settings\All Users\Application Data\thunk poll road mail\COPYFAST.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [64 HTM] C:\DOCUME~1\PROPRI~1\APPLIC~1\gplhelp\Default Pure Axis.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ares] "D:\Programmes\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programmes\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/PROPRI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
4 mai 2007 à 19:49
tu as tout a fait raison, ce n'a pas fonctionné

donc tu recommences la manip en entier, si tu ne trouves pas les fichiers ce n'est pas grave puisque tu les as en principe déjà supprimé, mais le regedit c'est très important...
je te remet le regedit à recopier en entier avec regedit et tel que mis ici
pour la tâche on verra si cela ne marche pas


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Road Mail Bits Camp"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"64 HTM"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"netsearchsoft.com"=-
"www.netsearchsoft.com"=-
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
5 mai 2007 à 02:34
J'ai réessayé à maintes reprises d'effectuer à nouveau la procédure, mais sans succès. Il me semble que les soucis commencent dès la 5ème étape.

Lorsque j'ouvre la fenêtre "exécuter", je tape cmd, puis entrée (comme indiqué) et j'arrive sur un "C:\Documents and Settings\Propriétaire>".

Je colle ensuite "del /a C:\WINDOWS\Tasks\BD108C6181E7010D.job"

et il m'indique "Impossible de trouver del /a C:\WINDOWS\Tasks\BD108C6181E7010D.job"

Je ferme donc la fenêtre, mais je ne suis pas sûr que cela soit normal.


Ensuite, pour ce qui est du Regedit4, je fais bien un copier/coller dans un fichier texte pour lequel j'indique comme nom de fichier "reglop.reg" et Type "Tous les fichiers", puis je clique sur enregistrer. J'obtiens un fichier non reconnu par windows, et lorsque j'essaie de l'ouvrir, windows me demande avec quel type de programme je veux l'ouvrir, mais pas de message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?".

Je me demande donc si le codage en-dessous de "Type" au moment de l'enregistrement n'y est pas pour quelque chose.
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
5 mai 2007 à 10:21
tant pis on va essayer autrement
remet moi un lopxpmh pour que je vois ce qui est parti ou pas et je te donnerai une autre manip
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
6 mai 2007 à 15:20
Voilà un nouveau rapport...




Rapport lopxpMH2 version 2.0 fait à 15:18:41,62 le 06/05/2007
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\All Users\Application Data

21/03/2006 14:27 <REP> .
21/03/2006 14:27 <REP> ..
14/01/2007 22:59 <REP> Adobe
22/09/2006 18:21 <REP> Apple Computer
18/05/2006 13:24 <REP> dbg
15/01/2007 19:44 <REP> Justsystem
16/05/2006 12:31 <REP> Messenger Plus!
21/03/2006 14:27 <REP> Microsoft
12/10/2006 17:02 <REP> Microsoft Help
10/12/2006 13:00 <REP> MSScanAppDataDir
23/03/2006 12:23 <REP> Quark
15/01/2007 20:26 <REP> Sony Corporation
11/03/2007 13:16 <REP> Sony Ericsson
21/10/2006 00:07 <REP> Spybot - Search & Destroy
21/03/2006 18:11 <REP> Windows Genuine Advantage
21/03/2006 14:27 62 desktop.ini
11/11/2006 02:09 1 755 QTSBandwidthCache
2 fichier(s) 1 817 octets
15 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Default User\Application Data

21/03/2006 14:27 <REP> .
21/03/2006 14:27 <REP> ..
21/03/2006 14:27 <REP> Microsoft
21/03/2006 14:27 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

21/03/2006 14:27 <REP> .
21/03/2006 14:27 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\LocalService\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
28/04/2007 17:11 <REP> Macromedia
21/03/2006 14:56 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
21/03/2006 14:56 <REP> Microsoft
04/05/2007 14:59 161 448 FontCache3.0.0.0.dat
1 fichier(s) 161 448 octets
3 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\NetworkService\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
21/03/2006 14:56 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
21/03/2006 14:56 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 2 307 510 272 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Propriétaire\Application Data

21/03/2006 14:57 <REP> .
21/03/2006 14:57 <REP> ..
23/03/2006 12:16 <REP> Adobe
03/05/2006 15:14 <REP> AdobeUM
11/11/2006 02:10 <REP> Apple Computer
21/03/2006 14:57 <REP> Identities
30/04/2006 14:08 <REP> Jasc Software Inc
21/10/2006 01:12 <REP> Lavasoft
21/03/2006 17:38 <REP> Macromedia
21/03/2006 14:57 <REP> Microsoft
21/03/2006 16:33 <REP> Mozilla
31/03/2006 15:16 <REP> OpenOffice.org2
06/04/2006 14:40 <REP> Quark
06/04/2006 15:11 <REP> Real
15/01/2007 20:24 <REP> Sony Corporation
05/04/2006 23:59 <REP> Sun
21/03/2006 16:34 <REP> Talkback
22/03/2006 00:29 <REP> Thunderbird
15/06/2006 13:53 <REP> vlc
05/02/2007 02:46 540 AutoGK.ini
21/03/2006 14:57 62 desktop.ini
20/10/2006 23:46 2 411 QuickZip45.ini
3 fichier(s) 3 013 octets
19 Rép(s) 2 307 506 176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Propriétaire\Local Settings\Application Data

21/03/2006 14:57 <REP> .
21/03/2006 14:57 <REP> ..
23/03/2006 12:16 <REP> Adobe
30/05/2006 15:54 <REP> Ahead
22/09/2006 18:24 <REP> Apple Computer
21/03/2006 18:18 <REP> ApplicationHistory
20/04/2007 11:56 <REP> Ares
21/03/2006 14:57 <REP> Microsoft
12/10/2006 17:02 <REP> Microsoft Help
21/03/2006 16:34 <REP> Mozilla
21/02/2007 17:18 <REP> Stardock
22/03/2006 00:29 <REP> Thunderbird
24/03/2006 20:01 201 216 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21/03/2006 18:18 135 fusioncache.dat
29/03/2006 23:36 71 216 GDIPFONTCACHEV1.DAT
07/04/2006 14:58 4 235 348 IconCache.db
04/02/2007 23:56 4 096 keyfile3.drm
5 fichier(s) 4 512 011 octets
12 Rép(s) 2 307 506 176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\PropriÚtaire

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

21/03/2006 14:54 <REP> .
21/03/2006 14:54 <REP> ..
21/03/2006 14:54 <REP> Microsoft
21/03/2006 18:35 <REP> Mozilla
21/03/2006 18:36 <REP> Talkback
21/03/2006 14:54 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 2 307 506 176 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

21/03/2006 14:54 <REP> .
21/03/2006 14:54 <REP> ..
21/03/2006 18:35 <REP> Mozilla
0 fichier(s) 0 octets
3 Rép(s) 2 307 506 176 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
 =R¡e¹=GŒâpGÔÝÍF ê <
s  €!×    w : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e  - T a s k  S Y S T E M   0 Ö      
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Program Files

06/05/2007 10:33 <REP> .
06/05/2007 10:33 <REP> ..
23/03/2006 02:20 <REP> Adobe
23/03/2006 02:24 <REP> Ahead
21/03/2006 18:15 <REP> Alwil Software
21/03/2006 15:29 <REP> Apoint
29/10/2006 11:50 <REP> Apple Software Update
09/05/2006 01:57 <REP> aRPNCalc
30/04/2007 14:40 <REP> a-squared Free
05/02/2007 02:44 <REP> AutoGK
05/02/2007 02:44 <REP> AviSynth 2.5
20/10/2006 23:49 <REP> AxBx
04/05/2007 17:14 <REP> CCleaner
13/08/2006 01:33 <REP> CDex_170b2
21/03/2006 14:44 <REP> ComPlus Applications
21/03/2006 15:10 <REP> CONEXANT
21/02/2007 17:18 <REP> CursorXP
30/04/2006 14:07 <REP> Dell Computer
21/04/2007 20:41 <REP> Dolphin
22/03/2007 02:51 <REP> EuroPoker
15/01/2007 19:16 <REP> Fichiers communs
29/06/2006 19:39 <REP> Freeplayer
05/02/2007 02:43 <REP> Gabest
03/02/2007 02:05 <REP> GameTop.com
16/10/2006 23:03 <REP> Ihsv
21/03/2006 15:12 <REP> Intel
17/02/2007 10:11 <REP> Internet Explorer
18/03/2007 14:05 <REP> iPod
18/01/2007 00:12 <REP> Isotope244 Graphics
18/03/2007 14:05 <REP> iTunes
30/04/2006 14:08 <REP> Jasc Software Inc
23/04/2007 14:41 <REP> Java
10/09/2006 13:44 <REP> Messenger
02/10/2006 22:23 <REP> MessengerPlus! 3
21/03/2006 14:52 <REP> microsoft frontpage
27/02/2007 13:21 <REP> Microsoft Office
22/03/2006 15:49 <REP> Microsoft Visual Studio
27/02/2007 13:15 <REP> Microsoft Visual Studio 8
27/02/2007 13:21 <REP> Microsoft Works
22/03/2006 15:48 <REP> Microsoft.NET
09/09/2006 20:19 <REP> Movie Maker
29/04/2007 20:53 <REP> Mozilla Firefox
04/05/2007 16:58 <REP> Mozilla Thunderbird
04/05/2007 14:59 <REP> MSBuild
21/03/2006 14:43 <REP> MSN
21/03/2006 14:43 <REP> MSN Gaming Zone
04/03/2007 21:53 <REP> MSN Messenger
15/11/2006 10:35 <REP> MSXML 4.0
04/05/2007 15:04 <REP> MSXML 6.0
09/09/2006 20:16 <REP> NetMeeting
31/03/2006 15:14 <REP> OpenOffice.org 2.0
15/12/2006 10:49 <REP> Outlook Express
23/03/2006 12:23 <REP> Quark
06/05/2007 10:34 <REP> QuickTime
20/10/2006 23:46 <REP> QuickZip4
06/04/2006 15:12 <REP> Real
04/05/2007 14:50 <REP> Reference Assemblies
21/03/2006 14:46 <REP> Services en ligne
21/03/2006 15:05 <REP> SigmaTel
10/12/2006 18:29 <REP> SimpleOCR
25/03/2006 11:33 <REP> SLD Codec Pack
15/01/2007 20:27 <REP> Sony
11/03/2007 13:16 <REP> Sony Ericsson
05/02/2007 03:03 <REP> SpeedSim
06/11/2006 21:57 <REP> Spybot - Search & Destroy
21/03/2006 18:20 <REP> Sygate
15/10/2006 17:29 <REP> VideoLAN
06/11/2006 22:24 <REP> Winamp
11/12/2006 23:57 <REP> Windows Media Connect 2
11/12/2006 23:57 <REP> Windows Media Player
09/09/2006 20:16 <REP> Windows NT
21/03/2006 18:17 <REP> WinRAR
27/10/2006 18:36 <REP> WinZip
21/03/2006 14:52 <REP> xerox
0 fichier(s) 0 octets
74 Rép(s) 2 307 489 792 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
netsearchsoft.com REG_SZ
www.netsearchsoft.com REG_SZ
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\PO5BN2CN.DEFAULT\HOSTPERM.1
host popup 1 www.lamaisonduconvertible.com
host popup 1 fr.worldsbiggestchat.com
host popup 1 www.sofamusic.net
host popup 1 andriniaina.free.fr
host popup 1 www.batillustre.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.searchgateway.net/search/

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Road Mail Bits Camp REG_SZ C:\Documents and Settings\All Users\Application Data\thunk poll road mail\COPYFAST.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
64 HTM REG_SZ C:\DOCUME~1\PROPRI~1\APPLIC~1\gplhelp\Default Pure Axis.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
6 mai 2007 à 15:39
tout n'est pas parti je te donne une autre manip
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
6 mai 2007 à 16:16
Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en gras ci-dessous, (copie tout d'un trait) :

On Error Resume Next
Set WshShell = CreateObject("Wscript.Shell")
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\dns-look-up.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.dns-look-up.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\searchweb2.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.searchweb2.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.searchweb2.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\netbios-wait.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.netbios-wait.com"
WshShell.RegDelete"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\64 HTM"
WshShell.RegDelete"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Road Mail Bits Camp"
objFSO.DeleteFolder("C:\Documents and Settings\All Users\Application Data\thunk poll road mail")
objFSO.DeleteFolder("C:\Documents and Settings\Propriétaire\Application Data\ gplhelp")
objFSO.DeleteFolder("C:\Documents and Settings\Propriétaire\Application Data\NetPumper")
objFSO.DeleteFolder("C:\Program Files \gplhelp")



* Assure toi que le retour automatique à la ligne n'est pas activé
* Sauvegarde comme Lop.vbs sur le Bureau :
* Nom: Lop.vbs
* Type: Tous les fichiers

opie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****




/Double clique sur Lop.vbs,tu ne veras rien se passé c'est normal,recommence encore une fois,si une de tes protections reagit,autorise les changements...

/Lance CCleaner
Nettoyeur"/"lancer le nettoyage" et c'est tout.

/ Redémarre normalement et poste un nouveau rapport HijackThis , toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
6 mai 2007 à 16:59
J'ai essayé de lancer Lop.vbs plusieurs fois, mais rien ne s'est passé.

J'ai donc lancé Ccleaner et voici un nouveau rapport hijackthis :


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:52:11, on 06/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Apoint\Apoint.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Propriétaire\Bureau\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ares] "D:\Programmes\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programmes\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/PROPRI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
6 mai 2007 à 17:05
remet moi un rapport lopxpmh pour contrôle, je n'ai pas l'habitude de cette méthode, mais sur le rapport hijack, elle semble avoir réussi , les lignes mauvaises sont disparues
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
6 mai 2007 à 18:44
Rapport lopxpMH2 version 2.0 fait à 18:43:26,72 le 06/05/2007
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\All Users\Application Data

21/03/2006 14:27 <REP> .
21/03/2006 14:27 <REP> ..
14/01/2007 22:59 <REP> Adobe
22/09/2006 18:21 <REP> Apple Computer
18/05/2006 13:24 <REP> dbg
15/01/2007 19:44 <REP> Justsystem
16/05/2006 12:31 <REP> Messenger Plus!
21/03/2006 14:27 <REP> Microsoft
12/10/2006 17:02 <REP> Microsoft Help
10/12/2006 13:00 <REP> MSScanAppDataDir
23/03/2006 12:23 <REP> Quark
15/01/2007 20:26 <REP> Sony Corporation
11/03/2007 13:16 <REP> Sony Ericsson
21/10/2006 00:07 <REP> Spybot - Search & Destroy
21/03/2006 18:11 <REP> Windows Genuine Advantage
21/03/2006 14:27 62 desktop.ini
11/11/2006 02:09 1 755 QTSBandwidthCache
2 fichier(s) 1 817 octets
15 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Default User\Application Data

21/03/2006 14:27 <REP> .
21/03/2006 14:27 <REP> ..
21/03/2006 14:27 <REP> Microsoft
21/03/2006 14:27 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

21/03/2006 14:27 <REP> .
21/03/2006 14:27 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\LocalService\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
28/04/2007 17:11 <REP> Macromedia
21/03/2006 14:56 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
21/03/2006 14:56 <REP> Microsoft
04/05/2007 14:59 161 448 FontCache3.0.0.0.dat
1 fichier(s) 161 448 octets
3 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\NetworkService\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
21/03/2006 14:56 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

21/03/2006 14:56 <REP> .
21/03/2006 14:56 <REP> ..
21/03/2006 14:56 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 2 330 959 872 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Propriétaire\Application Data

21/03/2006 14:57 <REP> .
21/03/2006 14:57 <REP> ..
23/03/2006 12:16 <REP> Adobe
03/05/2006 15:14 <REP> AdobeUM
11/11/2006 02:10 <REP> Apple Computer
21/03/2006 14:57 <REP> Identities
30/04/2006 14:08 <REP> Jasc Software Inc
21/10/2006 01:12 <REP> Lavasoft
21/03/2006 17:38 <REP> Macromedia
21/03/2006 14:57 <REP> Microsoft
21/03/2006 16:33 <REP> Mozilla
31/03/2006 15:16 <REP> OpenOffice.org2
06/04/2006 14:40 <REP> Quark
06/04/2006 15:11 <REP> Real
15/01/2007 20:24 <REP> Sony Corporation
05/04/2006 23:59 <REP> Sun
21/03/2006 16:34 <REP> Talkback
22/03/2006 00:29 <REP> Thunderbird
15/06/2006 13:53 <REP> vlc
05/02/2007 02:46 540 AutoGK.ini
21/03/2006 14:57 62 desktop.ini
20/10/2006 23:46 2 378 QuickZip45.ini
3 fichier(s) 2 980 octets
19 Rép(s) 2 330 955 776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\Propriétaire\Local Settings\Application Data

21/03/2006 14:57 <REP> .
21/03/2006 14:57 <REP> ..
23/03/2006 12:16 <REP> Adobe
30/05/2006 15:54 <REP> Ahead
22/09/2006 18:24 <REP> Apple Computer
21/03/2006 18:18 <REP> ApplicationHistory
20/04/2007 11:56 <REP> Ares
21/03/2006 14:57 <REP> Microsoft
12/10/2006 17:02 <REP> Microsoft Help
21/03/2006 16:34 <REP> Mozilla
21/02/2007 17:18 <REP> Stardock
22/03/2006 00:29 <REP> Thunderbird
24/03/2006 20:01 203 776 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21/03/2006 18:18 135 fusioncache.dat
29/03/2006 23:36 71 216 GDIPFONTCACHEV1.DAT
07/04/2006 14:58 4 235 348 IconCache.db
04/02/2007 23:56 4 096 keyfile3.drm
5 fichier(s) 4 514 571 octets
12 Rép(s) 2 330 955 776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Documents and Settings\PropriÚtaire

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

21/03/2006 14:54 <REP> .
21/03/2006 14:54 <REP> ..
21/03/2006 14:54 <REP> Microsoft
21/03/2006 18:35 <REP> Mozilla
21/03/2006 18:36 <REP> Talkback
21/03/2006 14:54 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 2 330 955 776 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

21/03/2006 14:54 <REP> .
21/03/2006 14:54 <REP> ..
21/03/2006 18:35 <REP> Mozilla
0 fichier(s) 0 octets
3 Rép(s) 2 330 955 776 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
 =R¡e¹=GŒâpGÔÝÍF ê <
s  €!×    w : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e  - T a s k  S Y S T E M   0 Ö      
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 087D-2E40

Répertoire de C:\Program Files

06/05/2007 10:33 <REP> .
06/05/2007 10:33 <REP> ..
23/03/2006 02:20 <REP> Adobe
23/03/2006 02:24 <REP> Ahead
21/03/2006 18:15 <REP> Alwil Software
21/03/2006 15:29 <REP> Apoint
29/10/2006 11:50 <REP> Apple Software Update
09/05/2006 01:57 <REP> aRPNCalc
30/04/2007 14:40 <REP> a-squared Free
05/02/2007 02:44 <REP> AutoGK
05/02/2007 02:44 <REP> AviSynth 2.5
20/10/2006 23:49 <REP> AxBx
04/05/2007 17:14 <REP> CCleaner
13/08/2006 01:33 <REP> CDex_170b2
21/03/2006 14:44 <REP> ComPlus Applications
21/03/2006 15:10 <REP> CONEXANT
21/02/2007 17:18 <REP> CursorXP
30/04/2006 14:07 <REP> Dell Computer
21/04/2007 20:41 <REP> Dolphin
22/03/2007 02:51 <REP> EuroPoker
15/01/2007 19:16 <REP> Fichiers communs
29/06/2006 19:39 <REP> Freeplayer
05/02/2007 02:43 <REP> Gabest
03/02/2007 02:05 <REP> GameTop.com
16/10/2006 23:03 <REP> Ihsv
21/03/2006 15:12 <REP> Intel
17/02/2007 10:11 <REP> Internet Explorer
18/03/2007 14:05 <REP> iPod
18/01/2007 00:12 <REP> Isotope244 Graphics
18/03/2007 14:05 <REP> iTunes
30/04/2006 14:08 <REP> Jasc Software Inc
23/04/2007 14:41 <REP> Java
10/09/2006 13:44 <REP> Messenger
02/10/2006 22:23 <REP> MessengerPlus! 3
21/03/2006 14:52 <REP> microsoft frontpage
27/02/2007 13:21 <REP> Microsoft Office
22/03/2006 15:49 <REP> Microsoft Visual Studio
27/02/2007 13:15 <REP> Microsoft Visual Studio 8
27/02/2007 13:21 <REP> Microsoft Works
22/03/2006 15:48 <REP> Microsoft.NET
09/09/2006 20:19 <REP> Movie Maker
29/04/2007 20:53 <REP> Mozilla Firefox
04/05/2007 16:58 <REP> Mozilla Thunderbird
04/05/2007 14:59 <REP> MSBuild
21/03/2006 14:43 <REP> MSN
21/03/2006 14:43 <REP> MSN Gaming Zone
04/03/2007 21:53 <REP> MSN Messenger
15/11/2006 10:35 <REP> MSXML 4.0
04/05/2007 15:04 <REP> MSXML 6.0
09/09/2006 20:16 <REP> NetMeeting
31/03/2006 15:14 <REP> OpenOffice.org 2.0
15/12/2006 10:49 <REP> Outlook Express
23/03/2006 12:23 <REP> Quark
06/05/2007 10:34 <REP> QuickTime
20/10/2006 23:46 <REP> QuickZip4
06/04/2006 15:12 <REP> Real
04/05/2007 14:50 <REP> Reference Assemblies
21/03/2006 14:46 <REP> Services en ligne
21/03/2006 15:05 <REP> SigmaTel
10/12/2006 18:29 <REP> SimpleOCR
25/03/2006 11:33 <REP> SLD Codec Pack
15/01/2007 20:27 <REP> Sony
11/03/2007 13:16 <REP> Sony Ericsson
05/02/2007 03:03 <REP> SpeedSim
06/11/2006 21:57 <REP> Spybot - Search & Destroy
21/03/2006 18:20 <REP> Sygate
15/10/2006 17:29 <REP> VideoLAN
06/11/2006 22:24 <REP> Winamp
11/12/2006 23:57 <REP> Windows Media Connect 2
11/12/2006 23:57 <REP> Windows Media Player
09/09/2006 20:16 <REP> Windows NT
21/03/2006 18:17 <REP> WinRAR
27/10/2006 18:36 <REP> WinZip
21/03/2006 14:52 <REP> xerox
0 fichier(s) 0 octets
74 Rép(s) 2 330 951 680 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
netsearchsoft.com REG_SZ
www.netsearchsoft.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\PO5BN2CN.DEFAULT\HOSTPERM.1
host popup 1 www.lamaisonduconvertible.com
host popup 1 fr.worldsbiggestchat.com
host popup 1 www.sofamusic.net
host popup 1 andriniaina.free.fr
host popup 1 www.batillustre.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.searchgateway.net/search/

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
6 mai 2007 à 18:58
Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en gras ci-dessous, (copie tout d'un trait) :

On Error Resume Next
Set WshShell = CreateObject("Wscript.Shell")
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\netsearchsoft.com"
WshShell.RegDelete"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com"


Assure toi que le retour automatique à la ligne n'est pas activé
* Sauvegarde comme Lop.vbs sur le Bureau :
* Nom: Lop.vbs
* Type: Tous les fichiers

copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)


/Double clique sur Lop.vbs,tu ne verras rien se passer c'est normal,recommence encore une fois,si une de tes protections réagit,autorise les changements...

passe ccleaner

redémarre normalement et supprime tout ce qui a été utilisé pour la désinfection, vide ta corbeille

faire un scan antivirus en ligne avec internet explorer et accepter l'activex
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur I agree
La fenêtre change encore, clique sur Click here to scan
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
0
youri glogenflobish Messages postés 17 Date d'inscription dimanche 29 avril 2007 Statut Membre Dernière intervention 4 mai 2008
6 mai 2007 à 23:23
Voilà le rapport du scan avec BitDefender



BitDefender Online Scanner

Rapport d'analyse généré à: Sun, May 06, 2007 - 23:07:37

Voie d'analyse: C:\;D:\;E:\;


Statistiques

Temps


01:47:43

Fichiers 463015

Directoires 6791

Secteurs de boot 3

Archives 8054

Paquets programmes 40610

Résultats

Virus identifiés 9

Fichiers infectés 20

Fichiers suspects 0

Avertissements 0

Désinfectés 0

Fichiers effacés 20



Info sur les moteurs

Définition virus


504400

Version des moteurs


AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Analyse des plugins 14

Archive des plugins 38

Unpack des plugins 6

E-mail plugins 6

Système plugins 1



Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


*;

Excludez les extensions




Analyse d'emails Oui

Analyse des Archives Oui

Analyser paquets programmes Oui

Analyse des fichiers Oui

Analyse de boot Oui


Fichier analysé


Statut

C:\Program Files\AxBx\PC Security Test 2006\files\spyware.txt


Détecté avec: Application.VTesttool.A

C:\Program Files\AxBx\PC Security Test 2006\files\spyware.txt


Supprimé

C:\Program Files\AxBx\PC Security Test 2006\files\virus1.txt


Détecté avec: Application.VTesttool.B

C:\Program Files\AxBx\PC Security Test 2006\files\virus1.txt


Supprimé

C:\Program Files\AxBx\PC Security Test 2006\files\virus3.txt


Détecté avec: Application.VTesttool.C

C:\Program Files\AxBx\PC Security Test 2006\files\virus3.txt


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0068909.exe


Infecté par: DeepScan:Generic.Sdbot.A8443D8B

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0068909.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0068909.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0068913.exe


Infecté par: DeepScan:Generic.Sdbot.AED8F817

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0068913.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0068913.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0069953.exe


Infecté par: DeepScan:Generic.Sdbot.A8443D8B

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0069953.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP839\A0069953.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP840\A0070041.exe


Infecté par: Trojan.Startpage.CD

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP840\A0070041.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP840\A0070041.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP840\A0070068.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP840\A0070068.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP840\A0070068.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP843\A0070225.dll


Infecté par: Worm.Sedoubot.A

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP843\A0070225.dll


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP843\A0070225.dll


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP845\A0070321.dll


Infecté par: Worm.Sedoubot.A

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP845\A0070321.dll


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP845\A0070321.dll


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070439.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070439.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070439.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070440.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070440.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070440.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070631.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070631.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070631.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070632.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070632.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070632.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070633.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070633.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070633.exe


Supprimé

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070634.exe


Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070634.exe


Echec de la désinfection

C:\System Volume Information\_restore{3A4A1186-0335-4369-A32C-185A5AEF905B}\RP847\A0070634.exe


Supprimé

C:\WINDOWS\aimmsn.exe


Infecté par: DeepScan:Generic.Sdbot.AED8F817

C:\WINDOWS\aimmsn.exe


Echec de la désinfection

C:\WINDOWS\aimmsn.exe


Supprimé

C:\WINDOWS\photo album.zip=>photo album2007.pif


Infecté par: Worm.Sedoubot.A

C:\WINDOWS\photo album.zip=>photo album2007.pif


Echec de la désinfection

C:\WINDOWS\photo album.zip=>photo album2007.pif


Supprimé

C:\WINDOWS\photo album.zip


Mis à jour

C:\WINDOWS\system32\windserv.exe


Infecté par: DeepScan:Generic.Sdbot.A8443D8B

C:\WINDOWS\system32\windserv.exe


Echec de la désinfection

C:\WINDOWS\system32\windserv.exe


Supprimé

D:\Zelda Classic\thank.exe


Infecté par: Trojan.Startpage.CD

D:\Zelda Classic\thank.exe


Echec de la désinfection

D:\Zelda Classic\thank.exe


Supprimé
0