Sujet Précédent Sujet Suivant

Une attaque de trojan.win32.obfuscated.en

Résolu/Fermé
yalou Messages postés 6 Date d'inscription vendredi 4 mai 2007 Statut Membre Dernière intervention 6 mai 2007 - 4 mai 2007 à 19:14
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 3 août 2008 à 20:43
Bonjours à tous;
j'ai été attaqué par : trojan.win32.obfuscated.en et mon antivirus kaspersky me l'a signalé et je l'ai supprimé par trois fois.
Depuis lors j'ai l'impression que kapersky ne scanne pas tous mon disc dur et j'ai bien peur que le trojan soit toujours là.
Est ce que quelqu'un pourrait m'aider à vérifier que je l'ai bien supprime et le cas écheant comment m'en debarrasser.
merci d'avance pour votre aide
A voir également:

36 réponses

  • 1
  • 2
Réponse 1 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
9 oct. 2007 à 19:40
Arretez avec votre Anti machin super fort d'Avast !
4
Réponse 2 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
22 mai 2007 à 13:00
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
3
Réponse 3 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
27 sept. 2007 à 22:04
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
2
Réponse 4 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
12 oct. 2007 à 22:23
Tu veux un conseil?

Crée ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
2

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
21 oct. 2007 à 23:09
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
2
Réponse 6 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
17 nov. 2007 à 15:05
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
2
Réponse 7 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
4 mai 2007 à 22:47
Re

Oui t'inquietes pas :)

Télécharge LopxpMH sur ton Bureau.

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

A+
1
yalou Messages postés 6 Date d'inscription vendredi 4 mai 2007 Statut Membre Dernière intervention 6 mai 2007
4 mai 2007 à 22:58
Voici le rapport
merci et à +



Rapport lopxpMH2 version 2.0 fait à 22:48:59,60 le 04/05/2007
C:\Documents and Settings\Y F\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\All Users\Application Data

04/05/2006 00:50 <REP> .
04/05/2006 00:50 <REP> ..
27/06/2006 20:05 <REP> Adobe
24/07/2006 12:18 <REP> Adobe Systems
04/05/2006 14:53 <REP> Ahead
04/05/2006 11:18 <REP> Apple Computer
29/09/2006 12:27 <REP> DVD Shrink
03/10/2006 13:36 <REP> HP
22/04/2007 13:13 <REP> Kaspersky Anti-Virus Personal
04/05/2006 00:50 <REP> Microsoft
09/05/2006 17:08 <REP> Skype
03/05/2007 19:58 <REP> Spybot - Search & Destroy
17/12/2006 12:32 <REP> TEMP
06/05/2006 17:49 <REP> Windows Genuine Advantage
03/05/2006 22:34 305 addr_file.html
04/05/2006 00:52 62 desktop.ini
03/10/2006 13:25 726 hpzinstall.log
15/11/2006 18:37 1 763 QTSBandwidthCache
4 fichier(s) 2 856 octets
14 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\Default User\Application Data

04/05/2006 00:50 <REP> .
04/05/2006 00:50 <REP> ..
04/05/2006 00:50 <REP> Microsoft
04/05/2006 00:52 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

04/05/2006 00:52 <REP> .
04/05/2006 00:52 <REP> ..
03/05/2006 23:05 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\LocalService\Application Data

03/05/2006 23:09 <REP> .
03/05/2006 23:09 <REP> ..
03/05/2006 23:09 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

03/05/2006 23:09 <REP> .
03/05/2006 23:09 <REP> ..
03/05/2006 23:09 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\NetworkService\Application Data

03/05/2006 23:08 <REP> .
03/05/2006 23:08 <REP> ..
03/05/2006 23:08 <REP> Microsoft
03/05/2006 22:56 <REP> Mozilla
03/05/2006 22:56 <REP> Talkback
0 fichier(s) 0 octets
5 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

03/05/2006 23:08 <REP> .
03/05/2006 23:08 <REP> ..
03/05/2006 23:08 <REP> Microsoft
03/05/2006 22:56 <REP> Mozilla
0 fichier(s) 0 octets
4 Rép(s) 25 152 229 376 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\YF\Application Data

03/05/2006 23:14 <REP> .
03/05/2006 23:14 <REP> ..
09/06/2006 18:02 <REP> .bittorrent
29/04/2007 16:06 <REP> 64 Load
04/05/2006 11:43 <REP> Adobe
09/06/2006 10:52 <REP> AdobeUM
06/05/2006 12:58 <REP> Ahead
04/05/2006 11:19 <REP> Apple Computer
06/05/2006 20:00 <REP> BSplayer
04/05/2006 17:55 <REP> Google
03/10/2006 13:24 <REP> HP
03/05/2006 23:14 <REP> Identities
03/10/2006 14:46 <REP> Image Zone Express
10/06/2006 13:48 <REP> Kazaa Lite
17/12/2006 10:28 <REP> Lavasoft
04/05/2006 11:22 <REP> Macromedia
03/05/2006 23:14 <REP> Microsoft
03/05/2006 22:24 <REP> Mozilla
21/07/2006 16:44 <REP> Mp3tag
04/05/2006 11:20 <REP> MSNInstaller
04/05/2006 15:52 <REP> OpenOffice.org2
04/05/2007 11:52 <REP> PC Tools
16/02/2007 11:24 <REP> Real
09/05/2006 17:08 <REP> Skype
05/05/2006 14:29 <REP> Sun
03/05/2006 22:25 <REP> Talkback
03/05/2006 23:47 <REP> Thunderbird
27/04/2007 19:26 <REP> TribalWeb
27/01/2007 15:03 <REP> U3
27/03/2007 18:43 <REP> uTorrent
09/06/2006 11:13 2 508 $_hpcst$.hpc
30/08/2006 12:30 42 560 com.kennettnet.PodUtil.plist
03/05/2006 23:14 62 desktop.ini
09/10/2006 16:56 228 Hewlett-PackardHP PSC 1400 series1159875407_API.log
09/10/2006 16:56 2 138 Hewlett-PackardHP PSC 1400 series1159875407_PROTOCOL.log
09/10/2006 16:56 1 957 Hewlett-PackardHP PSC 1400 series1159875407_UI.log
04/10/2006 15:51 2 193 HPSU_48BitScanUpdate.log
04/10/2006 15:52 36 728 PatchUpdate_HP_CounterReport_Update_HPSU.log
03/10/2006 14:57 34 561 Update_HP_RedboxHprblog_HPSU.log
9 fichier(s) 122 935 octets
30 Rép(s) 25 152 225 280 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Documents and Settings\Y F\Local Settings\Application Data

03/05/2006 23:14 <REP> .
03/05/2006 23:14 <REP> ..
04/05/2006 18:39 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150060}
04/05/2006 11:43 <REP> Adobe
04/05/2006 17:39 <REP> Ahead
04/05/2006 11:19 <REP> Apple Computer
04/05/2006 17:55 <REP> Google
17/07/2006 15:45 <REP> Help
03/05/2006 23:43 <REP> Identities
03/05/2006 23:14 <REP> Microsoft
03/05/2006 22:25 <REP> Mozilla
03/05/2006 23:47 <REP> Thunderbird
06/05/2006 20:32 161 792 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
05/05/2006 19:57 34 984 GDIPFONTCACHEV1.DAT
01/05/2007 02:06 3 792 320 IconCache.db
3 fichier(s) 3 989 096 octets
12 Rép(s) 25 152 221 184 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

03/05/2006 23:08 <REP> .
03/05/2006 23:08 <REP> ..
03/05/2006 23:08 <REP> Microsoft
03/05/2006 23:08 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 25 152 221 184 octets libres
Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

03/05/2006 23:08 <REP> .
03/05/2006 23:08 <REP> ..
03/05/2006 23:08 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 25 152 221 184 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle 80 brain
Le numéro de série du volume est 0017-6491

Répertoire de C:\Program Files

04/05/2007 15:26 <REP> .
04/05/2007 15:26 <REP> ..
29/04/2007 16:06 <REP> 64 Load
18/04/2007 20:59 <REP> ACE Mega CoDecS Pack
05/03/2007 12:46 <REP> Adobe
04/05/2006 14:55 <REP> Ahead
18/04/2007 19:05 <REP> Allok RM RMVB to AVI MPEG DVD Converter
04/05/2006 19:01 <REP> Analog Devices
07/06/2006 15:46 <REP> ArtecUSB
18/04/2007 18:48 <REP> Batch Video Converter
29/04/2007 16:07 <REP> BitGrabber
18/04/2007 20:30 <REP> BSplayer
03/05/2006 23:26 <REP> CCleaner
27/09/2006 19:00 <REP> Common Files
03/05/2006 23:02 <REP> ComPlus Applications
25/09/2006 11:46 <REP> CORPSH6
09/06/2006 11:40 <REP> DestinatorApps
14/06/2006 14:27 <REP> DiMAGE Viewer
02/06/2006 13:08 <REP> Driver-Soft
29/09/2006 12:27 <REP> DVD Shrink
03/05/2007 15:38 <REP> eMule
04/05/2007 09:51 <REP> Fichiers communs
04/05/2006 17:54 <REP> Google
18/12/2006 09:51 <REP> Grisoft
03/10/2006 13:34 <REP> Hewlett-Packard
04/10/2006 15:57 <REP> HP
01/09/2006 15:04 <REP> Illustrate
21/02/2007 14:01 <REP> Internet Explorer
15/11/2006 18:10 <REP> iPod
15/11/2006 18:10 <REP> iTunes
04/05/2006 18:43 <REP> Java
09/01/2007 18:18 <REP> Jeune Styliste
22/04/2007 13:13 <REP> Kaspersky Lab
25/09/2006 11:00 <REP> Larousse de cuisine
06/05/2006 18:57 <REP> Messenger
28/09/2006 14:15 <REP> Microsoft ActiveSync
03/05/2006 23:06 <REP> microsoft frontpage
28/09/2006 14:15 <REP> Microsoft Office
03/05/2006 23:03 <REP> Movie Maker
04/05/2007 22:47 <REP> Mozilla Firefox
04/05/2007 19:00 <REP> Mozilla Thunderbird
23/12/2006 14:51 <REP> Mp3 Tag
04/05/2006 11:20 <REP> MSN
14/09/2006 15:55 <REP> MSN Apps
03/05/2006 23:02 <REP> MSN Gaming Zone
04/06/2006 16:10 <REP> MSN Messenger
21/02/2007 14:03 <REP> MSXML 4.0
21/11/2006 20:56 <REP> NetMeeting
03/05/2006 23:02 <REP> Online Services
04/05/2006 15:20 <REP> OpenOffice.org 2.0
21/02/2007 14:03 <REP> Outlook Express
27/09/2006 19:00 <REP> PC Camera
03/05/2006 23:02 <REP> PC Wizard 2006
30/08/2006 10:36 <REP> PodUtil
03/05/2006 23:40 <REP> Prolific
05/01/2007 22:13 <REP> QuickTime
16/02/2007 11:25 <REP> Real
03/05/2006 23:04 <REP> Services en ligne
25/09/2006 11:00 <REP> Sierra On-Line
04/05/2007 09:51 <REP> Skype
03/05/2007 20:01 <REP> Spybot - Search & Destroy
18/12/2006 11:44 <REP> Spyware Doctor
07/11/2006 12:30 <REP> StreamDown
03/05/2006 22:53 <REP> Sygate
17/12/2006 12:21 <REP> Terra Forestia Pygmoli
27/04/2007 19:26 <REP> TribalWeb.net
03/05/2006 23:18 <REP> USB ADSL
29/04/2007 20:39 <REP> uTorrent
02/06/2006 13:31 <REP> VIA
27/09/2006 19:01 <REP> Vimicro
26/09/2006 16:17 <REP> VirtualDub-1.6.16
04/02/2007 12:20 <REP> Webteh
07/08/2006 20:26 <REP> Western Digital Technologies
18/04/2007 15:48 <REP> WinAVI Video Converter
14/02/2007 13:32 <REP> Windows Media Player
03/05/2006 23:01 <REP> Windows NT
16/05/2006 21:58 <REP> WinRAR
06/08/2006 22:29 <REP> WinZip
03/05/2006 23:06 <REP> xerox
0 fichier(s) 0 octets
79 Rép(s) 25 152 212 992 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.homebanking1.axa.be REG_BINARY
*.homebanking2.axa.be REG_BINARY
*.homebankingucr.axa.be REG_BINARY
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ
netsearchsoft.com REG_SZ
www.netsearchsoft.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\Y F\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2HR0T2GQ.DEFAULT\HOSTPERM.1
host popup 1 www.emule-paradise.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet
Explorer\Main]
Search Bar REG_SZ http://g.fr.msn.be/0SEFRBE/SAOS01

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
yalou Messages postés 6 Date d'inscription vendredi 4 mai 2007 Statut Membre Dernière intervention 6 mai 2007
4 mai 2007 à 23:32
comme tout novice je deviens un peu parano, n'y at'il aucun risque de piratage ou autre menaces à partir des infos que je t'envoie
0
Réponse 8 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
25 oct. 2007 à 17:57
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
1
Réponse 9 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
23 déc. 2007 à 19:11
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
1
Réponse 10 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
3 janv. 2008 à 21:51
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
1
Réponse 11 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
9 janv. 2008 à 19:05
Bonjour,
Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt
1
Réponse 12 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
11 janv. 2008 à 19:12
Crée ton propre poste.

A+
1
Réponse 13 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
3 août 2008 à 20:43
Merci :-)
1
Réponse 14 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
4 mai 2007 à 22:01
Bienvenue sur le forum d’entraide de CommentCaMarche.net

Nous connaissons votre situation et nous vous conseillons de ne surtout pas vous inquiéter.
De plus, au vu du nombre croissant de désinfections effectuées sur le forum, nous vous demandons un peu de patience et surtout de ne pas créer plusieurs postes pour le même problème.
Merci de votre compréhension.

Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

0
yalou Messages postés 6 Date d'inscription vendredi 4 mai 2007 Statut Membre Dernière intervention 6 mai 2007
4 mai 2007 à 22:33
Merci pour ta rapidité, j'espere que tout est aussi simple que ça pour la suite car je ne suis pas un crack. Voici le rapport :
Logfile of HijackThis v1.99.1
Scan saved at 22:26:45, on 04/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\USB ADSL\CnxDslTb.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BSplayer\bsplayer.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.be/0SEFRBE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8461CCEF-7A69-43A3-A3E3-11C545F600CC}: NameServer = 62.58.94.130 62.58.62.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

merci et a bientôt
0
mia2lr
20 oct. 2007 à 18:19
Bonjour,
j'ai le meme trojan win32: obfuscated
j'ai fait un rapport avec hijack que voici
pourriez vous m'aider?
merci
julie

Logfile of HijackThis v1.99.1
Scan saved at 18:16:20, on 20/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Maxtor\OneTouch\utils\Onetouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Microsoft Office\Office10\msohtmed.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Program Files\Maxtor\OneTouch\utils\Onetouch.exe
O4 - HKLM\..\Run: [MXOBG] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MySpaceIM] C:\Program Files\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - https://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Microsoft BIOS Drivers - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Print Spooler Service (yyyoeetzy16) - Unknown owner - C:\WINDOWS\System32\dior4f41427711.exe (file missing)
0
Réponse 15 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 mai 2007 à 20:26
Salut,

Non aucuns problemes avec les rapports :)

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

Supprime ceci:

C:\Program Files\BitGrabber
C:\Program Files\64 Load
C:\Documents and Settings\YF\Application Data\64 Load

A+
0
Réponse 16 / 36
yalou Messages postés 6 Date d'inscription vendredi 4 mai 2007 Statut Membre Dernière intervention 6 mai 2007
5 mai 2007 à 20:49
merci beaucoup Regis pour tes conseil et ton aide.
Je decouvre l'entraide sur le net et ça me plait bien!!!
bravo à tous§
0
Réponse 17 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
5 mai 2007 à 22:18
Ok tiens moi au courant :)

Content que l'entraide te plaises ;)

A+
0
yalou Messages postés 6 Date d'inscription vendredi 4 mai 2007 Statut Membre Dernière intervention 6 mai 2007
6 mai 2007 à 12:55
tout est ok , merci enncore !
a+
0
Réponse 18 / 36
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
6 mai 2007 à 12:57
de rien :)

Bon dimanche,

A+
0
Réponse 19 / 36
jona
21 mai 2007 à 23:07
J'ai moi aussi été attaqué par ce même virus... je poste ici mon rapport dans l'espoir de trouver une aide...
(je sait pas si la démarche est la même pour tout le monde ;) )

Logfile of HijackThis v1.99.1
Scan saved at 23:05:18, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\lxctcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Lexmark X74-X75\lxbbbmon.exe
C:\Program Files\OLITEC\Common\Olitec.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Program Files\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OLITEC Wireless Utility.lnk = C:\Program Files\OLITEC\Common\Olitec.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 20 / 36
dede70
26 sept. 2007 à 21:51
enquiquiné par win 32 obfuscated-BPT je vous joint le rapport HiJackThis

merci du coup de pouce

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:08, on 26/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\usnsvc.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\DOCUME~1\LAURNE~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Planetis
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [usnsvc.exe] C:\WINDOWS\usnsvc.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Update Service] "C:\Program Files\Fichiers communs\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.planetis.com/
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FB40C96-0B48-4C12-8A79-9248A81DC8BC}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FB40C96-0B48-4C12-8A79-9248A81DC8BC}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0

Discussions similaires

Trojan Win32 generic
yelena94 -
yelena94 -

27 réponses
Trojan.Win32.Hosts2.gen
matthieugoua -
afideg -

38 réponses
Attaque des titans saison 1en vf
Tonitea99 -
Pierrecastor -

3 réponses
Clip avec des cannards qui attaques des raccailles style techno
Kzonne -
roublin -

4 réponses
Infection par Trojan.Win32.Bazon.a
Capdec -
Capdec -

16 réponses