Sujet Précédent Sujet Suivant

Virus msn espagnol

GREGFCB -  
 francis -
virus espagnol msn fotos_posse

bonjour a chaque connexion d'une personne de mes contacts un fenetre s'ouvre et des messages en espagnol apparaissent: "ola..." et un fichier zip a télécharger du nom de "fotos_posse" egalement

je désespere j'ai besoin de votre aide
merci par avance
A voir également:

25 réponses

  • 1
  • 2
Réponse 1 / 25
gerard
 
salut GREGFCB,

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

et télécharge également hijackthis,

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

A+
1
GREGFCB
 
j'ai deja lancé msnfix et rien n'est detecté......
0
francis
 
salut. je te remercie beaucoup car ca marche parfaitement!
0
Réponse 2 / 25
gerard
 
ok GREGFCB,

on va voir avec hijckthis
0
GREGFCB
 
Logfile of HijackThis v1.99.1
Scan saved at 20:53:15, on 19/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\AOL\1153825104\ee\AOLSoftware.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\QuickZip4\QuickZip.exe
C:\Documents and Settings\Greg\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1153825104\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [sixth scr rule eggs] C:\Documents and Settings\All Users\Application Data\internet dog sixth scr\Close Link.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Aim6] "C:\Program Files\Fichiers communs\AOL\Launch\AOLLaunch.exe" /d locale=fr-FR ee://aol/imApp
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [blueway] C:\DOCUME~1\Greg\APPLIC~1\THIRDF~1\barb free.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
GREGFCB
 
voila le resultat de lanalyse


Logfile of HijackThis v1.99.1
Scan saved at 20:53:15, on 19/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\AOL\1153825104\ee\AOLSoftware.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\QuickZip4\QuickZip.exe
C:\Documents and Settings\Greg\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1153825104\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [sixth scr rule eggs] C:\Documents and Settings\All Users\Application Data\internet dog sixth scr\Close Link.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Aim6] "C:\Program Files\Fichiers communs\AOL\Launch\AOLLaunch.exe" /d locale=fr-FR ee://aol/imApp
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [blueway] C:\DOCUME~1\Greg\APPLIC~1\THIRDF~1\barb free.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
Réponse 3 / 25
gerard
 
On va vérifier quelque chose

Télécharge ceci: (by Moe)
http://sosvirus.changelog.fr/Green_day/Lopxp.exe

Lance Lopxp.bat.
Au menu, choisis l'option 1 "Rechercher / Générer un rapport"
Patiente et lorsque l'on te demande d'appuyer sur une touche, appuie.
Ensuite, le rapport s'ouvre, copie colle le en entier sur le forum.
0
GREGFCB
 
voila ce que j'obtiens

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Messenger Plus! Live]
"UninstallString"="\"C:\\Program Files\\Messenger Plus! Live\\Uninstall.exe\""
"DisplayIcon"="\"C:\\Program Files\\Messenger Plus! Live\\Uninstall.exe\""
"InstallLocation"="C:\\Program Files\\Messenger Plus! Live"
"Publisher"="Patchou"
"URLInfoAbout"="http://www.msgpluslive.net"
"URLUpdateInfo"="http://www.msgpluslive.net"
"DisplayVersion"="4.20 (build 262)"
"DisplayName"="Messenger Plus! Live & Sponsor (CiD)"
"SponsorInstalled"=dword:00000001
0
GREGFCB
 
as tu une solution pour moi stp???
merci d avance
0
Réponse 4 / 25
gerard
 
re,

il n'y a pas tout le rapport, il manque plusieurs parties.

Si tu pouvais le refaire.
Si tu obtient toujours la même chose, refait avec celui-ci

Télécharge lopxp

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

dezippe le (clic droit dessus > extraire tout)
et lance lopxpmh.bat en double-cliquant dessus
quand il à terminé, un rapport s'ouvre , copie et colle le contenu dans ta réponse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
gerard
 
Pour te dire ce que l'on est entrain de faire

Cette ligne dans hijackthis
O4 - HKCU\..\Run: [blueway] C:\DOCUME~1\Greg\APPLIC~1\THIRDF~1\barb free.exe
peut faire penser à une infection lop.

Les outils que je te fait télécharger pourront le confirmer.

Si infection lop il y a, on traîtra cette infection.

Ensuite on fera un petit scan chez kaspersky pour le problème "virus espagnol msn fotos_posse", qui lui ne doit pas être lié à cette 04.

A+
0
GREGFCB
 
voila le rapport merci pour l'aide


_____________ Rapport Lopxp fait le 19/05/2007 à 21:10:46,92 _______________


/!\ Attention /!\

Les résultats de ce rapport sont sujets à interprétations,
Et ne démontrent pas systématiquement des dossiers infectés...


_________________________ Recherche prédéterminé __________________________


[X] C:\Program Files\MessengerPlus! 3 Présent !

Date d'installation/Création du dossier: 25/04/2007 à 21:00
Dernière modification du dossier le: 25/04/2007 à 21:00

Recherche des dossiers crées le: 25/04/2007

C:\Program Files

25/04/2007 21:49 <REP> MESSEN~3 Messenger Plus! Live
25/04/2007 21:00 <REP> Adverts
25/04/2007 21:00 <REP> MESSEN~2 MessengerPlus! 3
25/04/2007 20:31 <REP> Wanadoo
25/04/2007 20:22 <REP> SECURI~1 Securitoo

C:\Documents and Settings\All Users\Application Data

25/04/2007 21:01 <REP> INTERN~1 internet dog sixth scr

C:\Documents and Settings\Greg\Application Data

25/04/2007 21:51 <REP> SCREEN~1 Screenshot Sender
25/04/2007 21:01 <REP> THIRDF~1 ThirdFlawRoam



[X] C:\Program Files\Messenger Plus! Live Présent !

Date d'installation/Création du dossier: 25/04/2007 à 21:49
Dernière modification du dossier le: 25/04/2007 à 21:50

Recherche des dossiers crées le: 25/04/2007

C:\Program Files

25/04/2007 21:49 <REP> MESSEN~3 Messenger Plus! Live
25/04/2007 21:00 <REP> Adverts
25/04/2007 21:00 <REP> MESSEN~2 MessengerPlus! 3
25/04/2007 20:31 <REP> Wanadoo
25/04/2007 20:22 <REP> SECURI~1 Securitoo

C:\Documents and Settings\All Users\Application Data

25/04/2007 21:01 <REP> INTERN~1 internet dog sixth scr

C:\Documents and Settings\Greg\Application Data

25/04/2007 21:51 <REP> SCREEN~1 Screenshot Sender
25/04/2007 21:01 <REP> THIRDF~1 ThirdFlawRoam


_________________________ Recherche heuristique __________________________


C:\Documents and Settings\All Users\Application Data\internet dog sixth scr
C:\Documents and Settings\Greg\Application Data\ThirdFlawRoam


___________________________ Tâches planifiées _____________________________

Tâche cachée à l'utilistateur:

C:\WINDOWS\tasks\A99A42659195F6E1.job
/!\ Fichier lancé: c:\docume~1\greg\applic~1\thirdf~1\Curb Suspect !

Tâche cachée à l'utilistateur:

C:\WINDOWS\tasks\MP Scheduled Scan.job
Fichier lancé: Scheduled

Listing de toutes les tâches planifiées:

A99A42659195F6E1.job: c:\docume~1\greg\applic~1\thirdf~1\Curb this settings.exe
MP Scheduled Scan.job: C:\Program Files\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges
Rappel d'enregistrement 1.job: C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /r /n:1
Rappel d'enregistrement 2.job: C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /r /n:2
Rappel d'enregistrement 3.job: C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /r /n:3


__________ Détection des paramètres de désinstallation du sponsor _________

Sponsor P2P:

Sponsor MSN+:
Rapport lopxpMH2 version 2.0 fait à 22:53:39,17 le 19/05/2007
C:\Documents and Settings\Greg\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\All Users\Application Data

18/05/2004 14:48 <REP> .
18/05/2004 14:48 <REP> ..
15/08/2006 19:32 <REP> Adobe
25/07/2006 12:58 <REP> AOL
25/07/2006 12:55 <REP> AOL Downloads
25/07/2006 12:19 <REP> Apple Computer
11/08/2006 12:18 <REP> DVD Shrink
25/04/2007 21:01 <REP> internet dog sixth scr
19/05/2007 19:06 <REP> Lavasoft
26/04/2007 12:57 <REP> Messenger Plus!
18/05/2004 14:48 <REP> Microsoft
18/05/2004 14:16 <REP> SBSI
04/06/2006 01:16 <REP> Skype
27/04/2007 11:37 <REP> Spybot - Search & Destroy
25/07/2006 12:59 <REP> Viewpoint
03/06/2006 23:09 <REP> Windows Genuine Advantage
18/05/2004 14:48 62 desktop.ini
27/04/2007 13:41 1 342 QTSBandwidthCache
2 fichier(s) 1 404 octets
16 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Default User\Application Data

18/05/2004 14:48 <REP> .
18/05/2004 14:48 <REP> ..
03/06/2006 22:02 <REP> Adobe
03/06/2006 22:02 <REP> AdobeUM
03/06/2006 22:02 <REP> Identities
18/05/2004 14:48 <REP> Microsoft
03/06/2006 22:02 <REP> Sun
03/06/2006 22:02 <REP> toshiba
18/05/2004 14:48 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

18/05/2004 14:48 <REP> .
18/05/2004 14:48 <REP> ..
03/06/2006 22:02 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142040}
03/06/2006 22:02 <REP> Microsoft
03/06/2006 22:02 5 877 146 IconCache.db
1 fichier(s) 5 877 146 octets
4 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Greg\Application Data

03/06/2006 22:04 <REP> .
03/06/2006 22:04 <REP> ..
25/07/2006 12:59 <REP> acccore
03/06/2006 22:04 <REP> Adobe
03/06/2006 22:04 <REP> AdobeUM
25/07/2006 12:23 <REP> Apple Computer
03/06/2006 22:04 <REP> Identities
03/06/2006 22:15 <REP> InterVideo
27/04/2007 11:33 <REP> Lavasoft
23/06/2006 15:16 <REP> Leadertech
26/04/2007 12:52 <REP> Macromedia
15/08/2006 19:52 <REP> Media Player Classic
03/06/2006 22:04 <REP> Microsoft
25/07/2006 12:09 <REP> Real
25/04/2007 21:51 <REP> Screenshot Sender
04/06/2006 01:16 <REP> Skype
15/08/2006 22:29 <REP> Sonic
03/06/2006 22:04 <REP> Sun
16/08/2006 11:19 <REP> Template
25/04/2007 21:01 <REP> ThirdFlawRoam
03/06/2006 22:04 <REP> toshiba
03/05/2007 21:11 <REP> uTorrent
04/05/2007 21:23 <REP> vlc
03/06/2006 22:04 62 desktop.ini
28/04/2007 14:07 1 142 QuickZip45.ini
2 fichier(s) 1 204 octets
23 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Greg\Local Settings\Application Data

03/06/2006 22:04 <REP> .
03/06/2006 22:04 <REP> ..
03/06/2006 22:04 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142040}
03/06/2006 22:28 <REP> Adobe
25/07/2006 12:59 <REP> AOL
27/04/2007 13:40 <REP> Apple Computer
04/06/2006 00:49 <REP> ApplicationHistory
11/05/2007 20:20 <REP> Help
25/04/2007 20:59 <REP> Identities
03/06/2006 22:04 <REP> Microsoft
28/08/2006 15:28 <REP> toaster
03/06/2006 22:23 62 976 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
04/06/2006 00:49 127 fusioncache.dat
04/06/2006 00:34 25 432 GDIPFONTCACHEV1.DAT
25/07/2006 13:58 6 396 316 IconCache.db
4 fichier(s) 6 484 851 octets
11 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\LocalService\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\NetworkService\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

18/05/2004 13:58 <REP> .
18/05/2004 13:58 <REP> ..
03/06/2006 22:02 <REP> Adobe
03/06/2006 22:02 <REP> AdobeUM
03/06/2006 22:02 <REP> Identities
18/05/2004 13:58 <REP> Microsoft
03/06/2006 22:02 <REP> Sun
03/06/2006 22:02 <REP> toshiba
18/05/2004 13:58 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

18/05/2004 13:58 <REP> .
18/05/2004 13:58 <REP> ..
03/06/2006 22:02 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142040}
19/05/2004 11:22 <REP> Microsoft
03/06/2006 22:02 5 877 146 IconCache.db
1 fichier(s) 5 877 146 octets
4 Rép(s) 573 411 328 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\A99A42659195F6E1.job
s  "€!×     : c : \ d o c u m e ~ 1 \ g r e g \ a p p l i c ~ 1 \ t h i r d f ~ 1 \ C u r b t h i s s e t t i n g s . e x e  G r e g   0 Î    <  

C:\WINDOWS\Tasks\MP
MP inexploitable


C:\WINDOWS\Tasks\Rappel
Rappel inexploitable


C:\WINDOWS\Tasks\Rappel
Rappel inexploitable


C:\WINDOWS\Tasks\Rappel
Rappel inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Program Files

19/05/2007 19:06 <REP> .
19/05/2007 19:06 <REP> ..
03/06/2006 22:25 <REP> Adobe
25/04/2007 21:00 <REP> Adverts
23/06/2006 15:57 <REP> Ahead
03/06/2006 22:51 <REP> Alwil Software
25/07/2006 12:59 <REP> AOL
18/05/2004 14:40 <REP> Atheros
18/05/2004 14:32 <REP> ATI Technologies
18/05/2004 14:48 <REP> AvRack
04/07/2006 20:16 <REP> BSPlayer
18/05/2004 14:10 <REP> Common Files
10/07/2006 20:36 <REP> DivXCodec
11/08/2006 12:22 <REP> D-Tools
15/08/2006 21:37 <REP> DVD Shrink
29/08/2006 14:27 <REP> EA SPORTS
27/04/2007 22:13 <REP> eMule
25/07/2006 12:58 <REP> Fichiers communs
10/05/2007 19:18 <REP> Internet Explorer
03/06/2006 22:22 <REP> InterVideo
13/04/2007 12:02 <REP> Inventel
16/05/2007 13:38 <REP> Java
15/08/2006 19:51 <REP> K-Lite Codec Pack
19/05/2007 19:06 <REP> Lavasoft
19/05/2004 12:19 <REP> ltmoh
04/06/2006 00:51 <REP> Messenger
25/04/2007 21:50 <REP> Messenger Plus! Live
25/04/2007 21:00 <REP> MessengerPlus! 3
18/05/2004 13:56 <REP> microsoft frontpage
27/04/2007 12:10 <REP> Microsoft Office
04/06/2006 01:12 <REP> Microsoft Works
04/06/2006 00:25 <REP> Movie Maker
18/05/2004 13:52 <REP> MSN
18/05/2004 13:52 <REP> MSN Gaming Zone
25/04/2007 21:50 <REP> MSN Messenger
04/06/2006 00:23 <REP> NetMeeting
25/04/2007 20:53 <REP> Outlook Express
25/07/2006 12:22 <REP> QuickTime
28/04/2007 14:07 <REP> QuickZip4
04/07/2006 20:07 <REP> Real
18/05/2004 14:48 <REP> Realtek Sound Manager
25/04/2007 20:22 <REP> Securitoo
18/05/2004 13:54 <REP> Services en ligne
04/06/2006 01:16 <REP> Skype
25/07/2006 12:08 <REP> SLD Codec Pack
03/06/2006 22:20 <REP> Sonic
27/04/2007 11:40 <REP> Spybot - Search & Destroy
18/05/2004 15:08 <REP> srslabs
18/05/2004 14:43 <REP> Synaptics
18/05/2004 15:08 <REP> TOSHIBA
08/05/2007 22:15 <REP> uTorrent
15/08/2006 19:45 <REP> VDCodecPack3.3
04/05/2007 21:19 <REP> VideoLAN
25/07/2006 17:04 <REP> Vidomi
25/07/2006 12:59 <REP> Viewpoint
19/05/2007 22:49 <REP> Wanadoo
04/06/2006 01:05 <REP> Windows Defender
08/05/2007 12:57 <REP> Windows Live Safety Center
04/05/2007 21:33 <REP> Windows Media Connect 2
04/05/2007 21:33 <REP> Windows Media Player
04/06/2006 00:23 <REP> Windows NT
18/05/2004 13:56 <REP> xerox
0 fichier(s) 0 octets
62 Rép(s) 573 403 136 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
www.01net.com REG_BINARY
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
www.pagesjaunes.fr REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sixth scr rule eggs REG_SZ C:\Documents and Settings\All Users\Application Data\internet dog sixth scr\Close Link.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
blueway REG_SZ C:\DOCUME~1\Greg\APPLIC~1\THIRDF~1\barb free.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 6 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir à tous les deux,

juste pour dire que il y a une infection lop.

La deuxième ligne qui signe classiquement cette infection est présente :
O4 - HKLM\..\Run: [sixth scr rule eggs] C:\Documents and Settings\All Users\Application Data\internet dog sixth scr\Close Link.exe

Je crois que l'information du post 7 indique que Messenger Plus! Live a été installé avec le sponsor.

Les rapports indiqueront la présence d'un job de réinfection et tous les répertoires contenant l'infection.

Mais la désinstallation du sponsor devrait enlever pas mal de choses (sinon tout).

@+

@+
0
Réponse 7 / 25
gerard
 
Bonsoir Lyonnais92,

merci de suivre ce topic.

Oui j'avais bien vu ces 2 lignes dans hijackthis, mais j'avais râté les sponsors dans le post 7.

merci de ton aide.

GREGFCB,
tu peux donc supprimer les sponsors via ajout/suppression de programme.
Tu choisis Messenger Plus!, tu fait supprimer, une fenêtre s'ouvrira, choisis supprimer les sponsors.

Ensuite reposte un rapport hijackthis.

Bonne soirée

A+
0
GREGFCB
 
Voici le nouveau rapport


_____________ Rapport Lopxp fait le 19/05/2007 à 21:10:46,92 _______________


/!\ Attention /!\

Les résultats de ce rapport sont sujets à interprétations,
Et ne démontrent pas systématiquement des dossiers infectés...


_________________________ Recherche prédéterminé __________________________


[X] C:\Program Files\MessengerPlus! 3 Présent !

Date d'installation/Création du dossier: 25/04/2007 à 21:00
Dernière modification du dossier le: 25/04/2007 à 21:00

Recherche des dossiers crées le: 25/04/2007

C:\Program Files

25/04/2007 21:49 <REP> MESSEN~3 Messenger Plus! Live
25/04/2007 21:00 <REP> Adverts
25/04/2007 21:00 <REP> MESSEN~2 MessengerPlus! 3
25/04/2007 20:31 <REP> Wanadoo
25/04/2007 20:22 <REP> SECURI~1 Securitoo

C:\Documents and Settings\All Users\Application Data

25/04/2007 21:01 <REP> INTERN~1 internet dog sixth scr

C:\Documents and Settings\Greg\Application Data

25/04/2007 21:51 <REP> SCREEN~1 Screenshot Sender
25/04/2007 21:01 <REP> THIRDF~1 ThirdFlawRoam



[X] C:\Program Files\Messenger Plus! Live Présent !

Date d'installation/Création du dossier: 25/04/2007 à 21:49
Dernière modification du dossier le: 25/04/2007 à 21:50

Recherche des dossiers crées le: 25/04/2007

C:\Program Files

25/04/2007 21:49 <REP> MESSEN~3 Messenger Plus! Live
25/04/2007 21:00 <REP> Adverts
25/04/2007 21:00 <REP> MESSEN~2 MessengerPlus! 3
25/04/2007 20:31 <REP> Wanadoo
25/04/2007 20:22 <REP> SECURI~1 Securitoo

C:\Documents and Settings\All Users\Application Data

25/04/2007 21:01 <REP> INTERN~1 internet dog sixth scr

C:\Documents and Settings\Greg\Application Data

25/04/2007 21:51 <REP> SCREEN~1 Screenshot Sender
25/04/2007 21:01 <REP> THIRDF~1 ThirdFlawRoam


_________________________ Recherche heuristique __________________________


C:\Documents and Settings\All Users\Application Data\internet dog sixth scr
C:\Documents and Settings\Greg\Application Data\ThirdFlawRoam


___________________________ Tâches planifiées _____________________________

Tâche cachée à l'utilistateur:

C:\WINDOWS\tasks\A99A42659195F6E1.job
/!\ Fichier lancé: c:\docume~1\greg\applic~1\thirdf~1\Curb Suspect !

Tâche cachée à l'utilistateur:

C:\WINDOWS\tasks\MP Scheduled Scan.job
Fichier lancé: Scheduled

Listing de toutes les tâches planifiées:

A99A42659195F6E1.job: c:\docume~1\greg\applic~1\thirdf~1\Curb this settings.exe
MP Scheduled Scan.job: C:\Program Files\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges
Rappel d'enregistrement 1.job: C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /r /n:1
Rappel d'enregistrement 2.job: C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /r /n:2
Rappel d'enregistrement 3.job: C:\WINDOWS\System32\OOBE\oobebaln.exe /sys /r /n:3


__________ Détection des paramètres de désinstallation du sponsor _________

Sponsor P2P:

Sponsor MSN+:
Rapport lopxpMH2 version 2.0 fait à 22:53:39,17 le 19/05/2007
C:\Documents and Settings\Greg\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\All Users\Application Data

18/05/2004 14:48 <REP> .
18/05/2004 14:48 <REP> ..
15/08/2006 19:32 <REP> Adobe
25/07/2006 12:58 <REP> AOL
25/07/2006 12:55 <REP> AOL Downloads
25/07/2006 12:19 <REP> Apple Computer
11/08/2006 12:18 <REP> DVD Shrink
25/04/2007 21:01 <REP> internet dog sixth scr
19/05/2007 19:06 <REP> Lavasoft
26/04/2007 12:57 <REP> Messenger Plus!
18/05/2004 14:48 <REP> Microsoft
18/05/2004 14:16 <REP> SBSI
04/06/2006 01:16 <REP> Skype
27/04/2007 11:37 <REP> Spybot - Search & Destroy
25/07/2006 12:59 <REP> Viewpoint
03/06/2006 23:09 <REP> Windows Genuine Advantage
18/05/2004 14:48 62 desktop.ini
27/04/2007 13:41 1 342 QTSBandwidthCache
2 fichier(s) 1 404 octets
16 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Default User\Application Data

18/05/2004 14:48 <REP> .
18/05/2004 14:48 <REP> ..
03/06/2006 22:02 <REP> Adobe
03/06/2006 22:02 <REP> AdobeUM
03/06/2006 22:02 <REP> Identities
18/05/2004 14:48 <REP> Microsoft
03/06/2006 22:02 <REP> Sun
03/06/2006 22:02 <REP> toshiba
18/05/2004 14:48 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

18/05/2004 14:48 <REP> .
18/05/2004 14:48 <REP> ..
03/06/2006 22:02 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142040}
03/06/2006 22:02 <REP> Microsoft
03/06/2006 22:02 5 877 146 IconCache.db
1 fichier(s) 5 877 146 octets
4 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Greg\Application Data

03/06/2006 22:04 <REP> .
03/06/2006 22:04 <REP> ..
25/07/2006 12:59 <REP> acccore
03/06/2006 22:04 <REP> Adobe
03/06/2006 22:04 <REP> AdobeUM
25/07/2006 12:23 <REP> Apple Computer
03/06/2006 22:04 <REP> Identities
03/06/2006 22:15 <REP> InterVideo
27/04/2007 11:33 <REP> Lavasoft
23/06/2006 15:16 <REP> Leadertech
26/04/2007 12:52 <REP> Macromedia
15/08/2006 19:52 <REP> Media Player Classic
03/06/2006 22:04 <REP> Microsoft
25/07/2006 12:09 <REP> Real
25/04/2007 21:51 <REP> Screenshot Sender
04/06/2006 01:16 <REP> Skype
15/08/2006 22:29 <REP> Sonic
03/06/2006 22:04 <REP> Sun
16/08/2006 11:19 <REP> Template
25/04/2007 21:01 <REP> ThirdFlawRoam
03/06/2006 22:04 <REP> toshiba
03/05/2007 21:11 <REP> uTorrent
04/05/2007 21:23 <REP> vlc
03/06/2006 22:04 62 desktop.ini
28/04/2007 14:07 1 142 QuickZip45.ini
2 fichier(s) 1 204 octets
23 Rép(s) 573 415 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\Greg\Local Settings\Application Data

03/06/2006 22:04 <REP> .
03/06/2006 22:04 <REP> ..
03/06/2006 22:04 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142040}
03/06/2006 22:28 <REP> Adobe
25/07/2006 12:59 <REP> AOL
27/04/2007 13:40 <REP> Apple Computer
04/06/2006 00:49 <REP> ApplicationHistory
11/05/2007 20:20 <REP> Help
25/04/2007 20:59 <REP> Identities
03/06/2006 22:04 <REP> Microsoft
28/08/2006 15:28 <REP> toaster
03/06/2006 22:23 62 976 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
04/06/2006 00:49 127 fusioncache.dat
04/06/2006 00:34 25 432 GDIPFONTCACHEV1.DAT
25/07/2006 13:58 6 396 316 IconCache.db
4 fichier(s) 6 484 851 octets
11 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\LocalService\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\NetworkService\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

18/05/2004 13:59 <REP> .
18/05/2004 13:59 <REP> ..
18/05/2004 13:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

18/05/2004 13:58 <REP> .
18/05/2004 13:58 <REP> ..
03/06/2006 22:02 <REP> Adobe
03/06/2006 22:02 <REP> AdobeUM
03/06/2006 22:02 <REP> Identities
18/05/2004 13:58 <REP> Microsoft
03/06/2006 22:02 <REP> Sun
03/06/2006 22:02 <REP> toshiba
18/05/2004 13:58 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 573 411 328 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

18/05/2004 13:58 <REP> .
18/05/2004 13:58 <REP> ..
03/06/2006 22:02 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142040}
19/05/2004 11:22 <REP> Microsoft
03/06/2006 22:02 5 877 146 IconCache.db
1 fichier(s) 5 877 146 octets
4 Rép(s) 573 411 328 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\A99A42659195F6E1.job
s  "€!×     : c : \ d o c u m e ~ 1 \ g r e g \ a p p l i c ~ 1 \ t h i r d f ~ 1 \ C u r b t h i s s e t t i n g s . e x e  G r e g   0 Î    <  

C:\WINDOWS\Tasks\MP
MP inexploitable


C:\WINDOWS\Tasks\Rappel
Rappel inexploitable


C:\WINDOWS\Tasks\Rappel
Rappel inexploitable


C:\WINDOWS\Tasks\Rappel
Rappel inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3438-FC0E

Répertoire de C:\Program Files

19/05/2007 19:06 <REP> .
19/05/2007 19:06 <REP> ..
03/06/2006 22:25 <REP> Adobe
25/04/2007 21:00 <REP> Adverts
23/06/2006 15:57 <REP> Ahead
03/06/2006 22:51 <REP> Alwil Software
25/07/2006 12:59 <REP> AOL
18/05/2004 14:40 <REP> Atheros
18/05/2004 14:32 <REP> ATI Technologies
18/05/2004 14:48 <REP> AvRack
04/07/2006 20:16 <REP> BSPlayer
18/05/2004 14:10 <REP> Common Files
10/07/2006 20:36 <REP> DivXCodec
11/08/2006 12:22 <REP> D-Tools
15/08/2006 21:37 <REP> DVD Shrink
29/08/2006 14:27 <REP> EA SPORTS
27/04/2007 22:13 <REP> eMule
25/07/2006 12:58 <REP> Fichiers communs
10/05/2007 19:18 <REP> Internet Explorer
03/06/2006 22:22 <REP> InterVideo
13/04/2007 12:02 <REP> Inventel
16/05/2007 13:38 <REP> Java
15/08/2006 19:51 <REP> K-Lite Codec Pack
19/05/2007 19:06 <REP> Lavasoft
19/05/2004 12:19 <REP> ltmoh
04/06/2006 00:51 <REP> Messenger
25/04/2007 21:50 <REP> Messenger Plus! Live
25/04/2007 21:00 <REP> MessengerPlus! 3
18/05/2004 13:56 <REP> microsoft frontpage
27/04/2007 12:10 <REP> Microsoft Office
04/06/2006 01:12 <REP> Microsoft Works
04/06/2006 00:25 <REP> Movie Maker
18/05/2004 13:52 <REP> MSN
18/05/2004 13:52 <REP> MSN Gaming Zone
25/04/2007 21:50 <REP> MSN Messenger
04/06/2006 00:23 <REP> NetMeeting
25/04/2007 20:53 <REP> Outlook Express
25/07/2006 12:22 <REP> QuickTime
28/04/2007 14:07 <REP> QuickZip4
04/07/2006 20:07 <REP> Real
18/05/2004 14:48 <REP> Realtek Sound Manager
25/04/2007 20:22 <REP> Securitoo
18/05/2004 13:54 <REP> Services en ligne
04/06/2006 01:16 <REP> Skype
25/07/2006 12:08 <REP> SLD Codec Pack
03/06/2006 22:20 <REP> Sonic
27/04/2007 11:40 <REP> Spybot - Search & Destroy
18/05/2004 15:08 <REP> srslabs
18/05/2004 14:43 <REP> Synaptics
18/05/2004 15:08 <REP> TOSHIBA
08/05/2007 22:15 <REP> uTorrent
15/08/2006 19:45 <REP> VDCodecPack3.3
04/05/2007 21:19 <REP> VideoLAN
25/07/2006 17:04 <REP> Vidomi
25/07/2006 12:59 <REP> Viewpoint
19/05/2007 22:49 <REP> Wanadoo
04/06/2006 01:05 <REP> Windows Defender
08/05/2007 12:57 <REP> Windows Live Safety Center
04/05/2007 21:33 <REP> Windows Media Connect 2
04/05/2007 21:33 <REP> Windows Media Player
04/06/2006 00:23 <REP> Windows NT
18/05/2004 13:56 <REP> xerox
0 fichier(s) 0 octets
62 Rép(s) 573 403 136 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
www.01net.com REG_BINARY
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
www.pagesjaunes.fr REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sixth scr rule eggs REG_SZ C:\Documents and Settings\All Users\Application Data\internet dog sixth scr\Close Link.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
blueway REG_SZ C:\DOCUME~1\Greg\APPLIC~1\THIRDF~1\barb free.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************


pouvez vous me confirmer que j'ai plus le virus?
puis je conseiller à mes contacts de reprodire la meme procedure?
merci
0
Réponse 8 / 25
gerard
 
GREGFCB,

tu as du poster le même rapport que précedement

Rapport Lopxp fait le 19/05/2007 à 21:10:46,92

Tu as bien supprimer les sponsors?
0
GREGFCB
 
desolé voila le nouveau

Logfile of HijackThis v1.99.1
Scan saved at 23:20:56, on 19/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\AOL\1153825104\ee\AOLSoftware.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\eMule\eMule.exe
C:\Documents and Settings\Greg\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1153825104\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [IPHSend] C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Aim6] "C:\Program Files\Fichiers communs\AOL\Launch\AOLLaunch.exe" /d locale=fr-FR ee://aol/imApp
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
0
Réponse 9 / 25
gerard
 
Pour répondre à tes questions,

Je ne pense pas que cette infection soit à l'origine de ton problème, donc cette procédure pour n'est destinée qu'à toi (sauf si tes contacts ont églement accepter le sponsor lol).

On verra la suite
0
Réponse 10 / 25
gerard
 
Bon voici la suite,

Pour Lop ça semble ok

Quel est ton pare-feu actuellement?
Si c'est celui de windows, tu peux télécharger un vrai pare-feu comme kerio et désactiver celui de windows.
Voir ici pour les questions sur kerio,
https://kerio.probb.fr/

ensuite

* Fais un scan en ligne Kaspersky avec Internet Explorer :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
* Clique sur Démarrer online scanner
* Clique maintenant sur J'accepte.
* Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
* Patiente pendant l'installation des Mises à jour.
* Choisis par la suite l'analyse du Poste de travail
* Sauvegarde puis colle le rapport généré en fin d'analyse.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0
Réponse 11 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

c'est vrai que l'origine c'est MSN et non lop.

Pour ton infection par MSN, tu as peut être une nouvelle variante.

Pour le vérifier, ouvre ce lien :
https://www.ionos.fr/

tu mets ton pseudo, comme url tu mets virus msn espagnol et dans le fichier, tu mets celui que tu as indiqué au début (tu le cherches par parcourir, tu ne copies pas le nom à la main).

@+
PS Gerard, si tu s'inscrivais sur ccm, on pourrait échanger plus facilement et ne pas donner l'impression d'un tandem désynchroniser.
0
Réponse 12 / 25
GREGFCB
 
Je ne comprends pas LYONNAIS ce que tu veux dire"par nom du fichier qe je dois chercher dans parcourir" quel est ce nom???
je transmet l'analyse de kapersky
mon probleme est resolu ou ai-je toujours le virus?????

KASPERSKY ON-LINE SCANNER REPORT
Sunday, May 20, 2007 1:19:13 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 20/05/2007
Enregistrements dans la base antivirus Kaspersky : 304750

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\

Statistiques de l'analyse
Total d'objets analysés 48418
Nombre de virus trouvés 1
Nombre d'objets infectés 8 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:43:18

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Application Data\AOL\UserProfiles\All Users\cls\common.cls L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Historique\History.IE5\MSHist012007052020070521\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Temp\~DF810.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Temporary Internet Files\Content.IE5\1B6BDQHS\CA0S638A.htm L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Greg\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\Program Files\eMule\Db\Jumpstart.db L'objet est verrouillé ignoré

C:\Program Files\eMule\Db\log.0000000001 L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\001.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\002.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\003.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\004.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\005.part L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025336.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025337.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025338.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025339.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025340.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025341.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025342.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\A0025343.exe Infecté : Trojan.Win32.Obfuscated.en ignoré

C:\System Volume Information\_restore{C350B69F-93AC-48EB-B560-2E258D3F260E}\RP144\change.log L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB822624$\hal.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB824141$\user32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB824141$\win32k.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\hh.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\html32.cnv L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\itss.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\locator.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\magnify.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\narrator.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\newdev.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\ole32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\osk.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\shell32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\srv.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828012$\ntkrnlmp.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828012$\ntkrnlpa.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828012$\ntkrnlpa.exe.000 L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828012$\ntkrpamp.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828012$\ntoskrnl.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828012$\ntoskrnl.exe.000 L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\colbact.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\comuid.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\es.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\ole32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828741$\txflog.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB830680$\keymgr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\callcont.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\h323.tsp L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\msgina.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\mst120.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB835732$\schannel.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\dao360.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\expsrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msexch40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msexcl40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msjet40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msjetol1.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msjetoledb40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msjint40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msjter40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msjtes40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msltus40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\mspbde40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msrd2x40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msrd3x40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msrepl40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\mstext40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\mswdat10.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\mswstr10.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\msxbde40.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB837001$\vbajet32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ828026$\wmp.dll L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_538.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 13 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

désolé, je n'ai pas été clair.

Dans ton post initial, tu parles d'un fichier zippé nommé fotos_posse.

c'est ce fichier (dont je ne connais pas le nom exact, mais toi si) que tu dois chercher avec "parcourir".

Si tu ne connais pas son "vrai nom", tu fais "rechercher" sur le mot fotos avec comme champ de recherche tes disques dur.

C'est plus clair ?
@+
0
GREGFCB
 
ok c clair merci
que peux tu me dire de l'analyse de kapersky est ce que j'ai toujours ce virus?
0
Réponse 14 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

kaspersky dit que Cid est éradiqué (il reste des traces dans la restauration système que Gerard te fera enlever (mais ne fait pas de restauration sauf absolue nécessité pour le moment).

Mais il y a toujours le problème MSN. Si tu as envoyé le fichier, on attend la réponse de !aur3n7.

@+
Edit plus tard dans la journée, vu l'heure.
0
GREGFCB
 
merci a toi
le fichier je pe pas l'envoyer car je l'ai pas telecharger "fotos_posse" donc inconnu sous ce nom sur ma machine.
j'attend encore avant de me servir de msn, c grave comme probleme?
a+
0
Réponse 15 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

OK, cela veut dire que c'est ton contact qui est infecté. Il faudrait que ce soit lui qui envoie le fichier (et qu'il vienne se faire désinfecter).
@+
0
Réponse 16 / 25
gerard
 
salut GREGFCB, Lyonnais92

pas trop le temps ce matin, peut être cette après midi,

Tu es entre de bonne main GREGFCB.

A+
0
Réponse 17 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

pour avancer (gerard, merci, mais tu reprends le post dès que tu es disponible) :

on prend un point de restauration propre :

tu ouvres ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

tu l'exécutes pour désactiver ta restauration sysrtème (suppression du point infecté)

tu l'exécutes pour réactiver la restauration (prendre un point propre).

Redémarre l'ordi.

remets un log Hijackthis.

à+
0
david
 
Bonjour lyonnais 92, je me permets de te contacter car je suis le contact infecté de "GREGFCB". Peux tu m'aider s'il te plait, sachant que mes compétences informatiques sont pathétiques...merci
0
sam84 > david
 
vntr
0
Réponse 18 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

on commence par la procédure que gérard avait demandé à GREGFCB :
Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

et télécharge également hijackthis,

https://www.01net.com/

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

@+
0
david
 
Voilà le rapport, merci pour ton aide


Logfile of HijackThis v1.99.1
Scan saved at 14:44:23, on 20/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\VM303_STI.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\sp2.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Toaster.exe
C:\PROGRA~1\WANADOO\Inactivity.exe
C:\PROGRA~1\WANADOO\PollingModule.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\david\Mes documents\Nettoyage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [WindowsSp2] C:\WINDOWS\System32\sp2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?7a5ee5081ae24c09b7ecce2bdd9ad80c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?7a5ee5081ae24c09b7ecce2bdd9ad80c
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
0
sam84
 
salut lyonnais92,

sympa de ton aide pour david,
et prends le temps de lui expliquer stp, c'est son bapteme informatique

@+
0
Réponse 19 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

1) le rapport créé par MSNFix stp. Il est dans le même répertoire que MSNFix.exe.

2) Tu n'as pas de parefeu.

Ouvre ce lien, télécharge et configure kerio (gratuit même après lapériode d'essai).

http://kerio.probb.fr/Systemesd-exploitation-c1/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Kerio-4-version-gratuite-t201.htm

3) relance hihackthis, choisis do a scan only.

coche la case devant ces lignes :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [WindowsSp2] C:\WINDOWS\System32\sp2.exe

Ferme toutes les fenêtres atives (hormis Hijackthis) et clique sur fix checked;

Ferme hijackthis.

4) Cherche avec l'explorateur Windows ce fichier :

C:\WINDOWS\System32\sp2.exe

Clic droit dessus et supprimer.

S'il résiste, va en mode sans échec et réessaye
(Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).)

5) redémarre l'ordi et reposte un log Hijackthis.
@+

0
david
 
Voilà pour le rapport Msnfix, je m'occupe de ce que tu m'as conseillé


MSN_Fix 1.30.2

C:\Documents and Settings\david\Bureau\MSNFix
Fix exécuté le 20/05/2007 - 15:27:34,71 By david
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé


************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\WINDOWS\ACER.SCR] 8D75D66E3E67D25FE9B729F01D2AA722
[C:\WINDOWS\ACER.SCR] 8D75D66E3E67D25FE9B729F01D2AA722
[C:\fotos_posse.zip] 8CC1076340E71BE1F0FE3BA6E024228C



------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0
Réponse 20 / 25
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

merci pour le rapport;

Quand tu auras fini le post 33, fais ceci :

ouvre ce lien :
https://www.ionos.fr/

dans le pseudo tu mets david

dans l'url tu mets virus msn espagnol

dans les commentaires tu mets demande de lyonnais92

Tu cliques sur parcourir et tu cherches ton fichier
C:\fotos_posse.zip

Tu fais la même chose avec
C:\WINDOWS\ACER.SCR

Ensuite, Télécharge sur ton bureau Comboscan:
http://www.techsupportforum.com/sectools/Deckard/comboscan.exe
Ferme toutes les applications en cours.
Double-clic sur comboscan.exe pour lancer l'outil.
Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse. Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.

@+
0
david
 
Voici les résultats del'application du post 33, merci Lyonnais92


Logfile of HijackThis v1.99.1
Scan saved at 16:22:39, on 20/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINDOWS\VM303_STI.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WANADOO\GestionnaireInternet.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\WANADOO\Toaster.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WANADOO\Inactivity.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\WANADOO\PollingModule.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\david\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?7a5ee5081ae24c09b7ecce2bdd9ad80c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?7a5ee5081ae24c09b7ecce2bdd9ad80c
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
0
david
 
Désolé Lyonnais92 mais je ne trouve pas le fichier C:\WINDOWS\ACER.SCR.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
symboles et écritures pour nick msn
Pando -
roro -

20 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses