[Virus] analyse de mon log -hijackthis-

flowzen Messages postés 48 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour tout le monde,

J'ai recemment un problème de spyware ce qui a causé le fait que je n'arrive pas à demarrer certains programmes comme Itunes :
Je recois le message suivant: " (nom logiciel) a rencontré un probleme et doit immediatement fermer"

Avant d'utiliser Hijackthis, j'ai supprimé les virus que Spybot et ZoneAlarm pro ont trouvé. Mais il reste quelque virus :S
J'ai telechargé TrojanHunter mais je ne sais pas s'il est efficace.
Voilà ce que Hijackthis a trouvé :

____________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 09:54:54, on 2098-06-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\QuickTime\qttask.exe
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Rar$EX17.984\MSN password logger\msnmonitor.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\msg32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Rar$EX99.969\HijackThis.exe

O4 - HKLM\..\Run: [quxcfimpsw] c:\windows\system32\quxcfimpsw.exe quxcfimpsw
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [track monitor] C:\Program Files\MSN Track Monitor\msntrack.exe
O4 - HKLM\..\Run: [msnreord] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Rar$EX17.984\MSN password logger\msnmonitor.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [EW Message Server] msg32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Dvd pop] C:\DOCUME~1\COMPAQ~1\APPLIC~1\HTMBOL~1\Book Spam.exe
O4 - HKCU\..\Run: [TopDesk] C:\Program Files\TopDesk\topdesk.exe
O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Program Files\Trojan Guarder Gold Version\Trojan Guarder.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Free Proxy Service (FreeProxy) - Unknown owner - C:\Program Files\Hand-Crafted Software\FreeProxy\FreeProxy.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

________________________________________________

J'aimerais savoir quels sont les cases à cocher sur Hijackthis avant de faire une bêtise

Merci beaucoup pour l'aide!!! MERCI!!!
A bientot!
Configuration: Windows XP
Firefox 1.5.0.11

16 réponses

  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ton antivirus c'est quoi?
    ton pare feu c'est zone alarme ou sygate? 2 pare feu c'est 1 de trop!!
    supprimes en un
    et reposte un rapport hijack this ensuite
    0
  2. flowzen Messages postés 48 Statut Membre
     
    ah oops !
    Ma liste d'antivirus est : spybot , avast, a2 free et AVG Anti-Spyware.
    J'ai nettoyé mon disque et desinstaller des programmes inutiles.
    j'ai supprimé ZoneAlarm pro. Donc il me reste que Sygate comme pare-feu.
    Apres avoir scanné avec Avast , j'ai supprimé beaucoup de fichiers "hostiles".

    J'avais le même probleme quand j'avais seulement Spybot et Sygate.
    J'ai telecharge le reste de la liste d'antivirus pour m'assurer que le maximum de virus soit eliminé.

    Voila mon nouveau log de hijackthis!

    ___________________________________-
    Logfile of HijackThis v1.99.1
    Scan saved at 12:49:44, on 2098-06-06
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    C:\WINDOWS\system32\msg32.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Spyware Doctor\svcntaux.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Spyware Doctor\swdsvc.exe
    C:\Program Files\Spybot - Search & Destroy255\SpybotSD.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Rar$EX04.641\HijackThis.exe

    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [quxcfimpsw] c:\windows\system32\quxcfimpsw.exe quxcfimpsw
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [msnreord] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Rar$EX17.984\MSN password logger\msnmonitor.exe
    O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    O4 - HKLM\..\Run: [EW Message Server] msg32.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Dvd pop] C:\DOCUME~1\COMPAQ~1\APPLIC~1\HTMBOL~1\Book Spam.exe
    O4 - Global Startup: Trojan Guarder Gold Version.lnk = C:\Program Files\Trojan Guarder Gold Version\Trojan Guarder.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccProxy.exe (file missing)
    O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: Free Proxy Service (FreeProxy) - Unknown owner - C:\Program Files\Hand-Crafted Software\FreeProxy\FreeProxy.exe (file missing)
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: SymWMI Service (SymWSC) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe (file missing)

    _________________________________

    nb: je suis parti dans hijack.de pour y copier-coller le log .

    J'ai supprimé celui la :
    O4 - HKCU\..\Run: [Dvd pop] C:\DOCUME~1\COMPAQ~1\APPLIC~1\HTMBOL~1\Book Spam.exe
    parce qu'il representait une menace dapres le site!
    Cependant je recois toujours le message suivant pour beaucoup de programmes:
    "(nom logiciel) a rencontré un probleme et doit immediatement fermer"
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Ma liste d'antivirus est : spybot , avast, a2 free et AVG Anti-Spyware.

    spybot ast un antispyware, pas un antivirus mais très bon et très utile
    avast antivirus ok
    a2free anti trojan je ne connais pas mais il parait plutot bon
    avg antispyware comme son nom l'indique très bon anti spyware

    J'ai nettoyé mon disque et desinstaller des programmes inutiles. 
    lesquels stp?

    J'ai supprimé celui la :
    O4 - HKCU\..\Run: [Dvd pop] C:\DOCUME~1\COMPAQ~1\APPLIC~1\HTMBOL~1\Book Spam.exe
    parce qu'il representait une menace dapres le site! 

    tu as simplement fixé la ligne ou supprimé le programme?

    Télécharge Blacklight (le 1er de la page)
    https://europe.f-secure.com/exclude/blacklight/index.shtml

    Enregistre le sur ton Bureau.
    Double-clique fsbl.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    poste ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    Télécharge LopXPMH sur ton Bureau.
    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

    Dézippe-le et double clique sur le fichier lopxpMH.bat.
    Poste le contenu du rapport qui va s'ouvrir
    0
  4. flowzen Messages postés 48 Statut Membre
     
    Re !!
    Merci beaucoup pour ton aide !!!
    Les programmes que j'ai desinstallés n'ont été que des logiciels que j'utilisais presque jamais et qui pesaient entre 1 et 10 Mo.
    Je ne me rappelle plus de ce que j'ai desinstallé :S mais ce sont surement des logiciels sans importance.
    En ce qui concerne le BookSpam , je l'ai supprimé de la ligne de Hijackthis et je l'ai desinstallé.
    Je vais telecharger les 2 logiciels maintenant !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    la suite demain si tu veux bien car pour moi il est très tard...
    0
  7. flowzen Messages postés 48 Statut Membre
     
    no problemo!
    Je veux m'assurer d'une chose: C'est ce qui empêche mes programmes de s'ouvrir?
    Merci!
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    en tout cas c'est en partie ce qui infeste ton PC
    0
  9. flowzen Messages postés 48 Statut Membre
     
    Papyber,

    En ce qui concerne Blacklight, ca me dit que ma periode d'evaluation a terminé :-S, je l'avais utilisé il y a 1 mois mais vraiment rarement. Pourtant il est desinstallé dans mon ordinateur.
    Pour LopXPMH, voila ce que j'ai recu :

    __________________________________________________________________________
    Rapport lopxpMH2 version 2.0 fait à 10:50:29,45 le 2098-06-07
    C:\Documents and Settings\Compaq_Owner\Desktop

    ******************************************
    ## Répertoires Application Data

    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\All Users\Application Data

    2004-08-29 15:12 <DIR> .
    2004-08-29 15:12 <DIR> ..
    2007-01-04 22:15 <DIR> Adobe
    2004-08-11 23:38 <DIR> Apple Computer
    2007-05-09 14:50 <DIR> ArtsAcoustic
    2007-02-18 14:48 <DIR> Audio Ref Blue Extra
    2005-02-06 12:36 <DIR> Macrovision
    2007-03-06 15:24 <DIR> Messenger Plus!
    2004-08-11 14:09 <DIR> Microsoft
    2004-08-11 23:54 <DIR> Motive
    2007-02-11 14:42 <DIR> Pinnacle
    2004-08-11 23:39 <DIR> QuickTime
    2004-08-11 21:24 <DIR> SBSI
    2006-12-18 19:59 <DIR> Skype
    2007-05-01 13:49 <DIR> Sony
    2007-03-10 22:16 <DIR> Spybot - Search & Destroy
    2004-08-12 07:57 <DIR> Symantec
    2007-05-12 21:57 <DIR> Synful
    2006-12-24 17:29 <DIR> Windows Genuine Advantage
    2006-10-03 22:36 <DIR> Yahoo!
    2004-08-11 14:10 62 desktop.ini
    2006-12-05 21:02 973 QTSBandwidthCache
    2 File(s) 1 035 bytes
    20 Dir(s) 16 460 271 616 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\Compaq_Owner\Application Data

    2004-10-26 16:34 <DIR> .
    2004-10-26 16:34 <DIR> ..
    2007-05-05 23:58 <DIR> Ableton
    2004-11-04 15:28 <DIR> Adobe
    2007-01-05 00:37 <DIR> AdobeAUM
    2004-11-04 15:28 <DIR> AdobeUM
    2006-12-27 19:08 <DIR> Ahead
    2004-10-26 16:34 <DIR> Apple Computer
    2006-10-15 01:16 <DIR> DeepBurner
    2006-10-07 01:28 <DIR> DivX
    2005-03-05 12:00 <DIR> FotoWire
    2007-01-17 23:35 <DIR> FunWebProducts
    2098-06-06 10:19 <DIR> Grisoft
    2006-09-18 01:36 <DIR> Help
    2007-03-06 21:47 <DIR> hidires
    2007-02-18 14:48 <DIR> Htm Bolt Balm
    2004-10-26 16:34 <DIR> Identities
    2005-02-05 15:17 <DIR> InterVideo
    2007-04-01 01:23 <DIR> Lavasoft
    2004-10-26 16:36 <DIR> Macromedia
    2004-10-26 16:34 <DIR> Microsoft
    2004-11-01 18:11 <DIR> Motive
    2006-09-16 14:05 <DIR> Mozilla
    2007-05-01 14:00 <DIR> NetMedia Providers
    2007-05-02 00:16 <DIR> OtakuSoftware
    2007-03-28 16:35 <DIR> PC Tools
    2004-11-05 15:56 <DIR> Publish Providers
    2004-12-24 12:43 <DIR> Raptisoft
    2004-10-26 16:34 <DIR> Real
    2007-05-12 21:01 <DIR> REAPER
    2004-10-26 16:34 <DIR> SampleView
    2007-03-04 17:23 <DIR> Screaming Bee
    2007-04-01 12:42 <DIR> Screenshot Sender
    2007-01-14 23:49 <DIR> SecondLife
    2004-12-19 16:59 <DIR> Shareaza
    2005-03-17 18:30 <DIR> Skype
    2004-11-05 15:54 <DIR> Sony
    2007-02-11 14:51 <DIR> Steinberg
    2004-10-26 16:34 <DIR> Sun
    2004-10-26 16:34 <DIR> Symantec
    2007-01-12 00:57 <DIR> Syntrillium
    2004-11-05 13:11 <DIR> Template
    2006-10-06 23:12 <DIR> uTorrent
    2007-04-25 09:28 <DIR> verbix
    2007-03-18 04:24 <DIR> WebCam Recorder
    2004-10-26 16:34 62 desktop.ini
    1 File(s) 62 bytes
    45 Dir(s) 16 460 271 616 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\Compaq_Owner\Local Settings\Application Data

    2004-10-26 16:34 <DIR> .
    2004-10-26 16:34 <DIR> ..
    2004-10-26 16:34 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    2004-11-04 15:28 <DIR> Adobe
    2006-12-27 20:58 <DIR> Ahead
    2004-10-26 16:34 <DIR> Apple Computer
    2004-10-26 16:34 <DIR> ApplicationHistory
    2006-09-18 01:36 <DIR> Help
    2004-10-30 12:41 <DIR> Identities
    2004-10-26 16:34 <DIR> Microsoft
    2006-11-15 16:10 <DIR> MicroVision Applications
    2006-09-16 14:06 <DIR> Mozilla
    2007-04-14 23:37 <DIR> Native Instruments
    2004-12-19 16:59 <DIR> Shareaza
    2007-05-01 13:59 <DIR> Sony
    2006-09-16 13:28 <DIR> Wildtangent
    2007-02-02 22:08 <DIR> WMTools Downloaded Files
    2005-01-25 18:39 181 248 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2004-10-26 16:34 128 fusioncache.dat
    2004-12-03 19:40 71 216 GDIPFONTCACHEV1.DAT
    2004-10-26 16:34 261 612 IconCache.db
    4 File(s) 514 204 bytes
    17 Dir(s) 16 460 267 520 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\Default User\Application Data

    2004-08-29 15:12 <DIR> .
    2004-08-29 15:12 <DIR> ..
    2004-10-26 16:33 <DIR> Apple Computer
    2004-08-11 21:17 <DIR> Identities
    2004-08-11 14:09 <DIR> Microsoft
    2004-10-26 16:33 <DIR> Real
    2004-10-26 16:33 <DIR> SampleView
    2004-10-26 16:33 <DIR> Sun
    2004-10-26 16:33 <DIR> Symantec
    2004-08-11 14:10 62 desktop.ini
    1 File(s) 62 bytes
    9 Dir(s) 16 460 251 136 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\Default User\Local Settings\Application Data

    2004-08-11 14:10 <DIR> .
    2004-08-11 14:10 <DIR> ..
    2004-10-26 16:33 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    2004-10-26 16:33 <DIR> Apple Computer
    2004-10-26 16:33 <DIR> ApplicationHistory
    2004-08-11 21:17 <DIR> Microsoft
    2004-10-26 16:33 128 fusioncache.dat
    2004-10-26 16:33 6 291 456 IconCache.db
    2 File(s) 6 291 584 bytes
    6 Dir(s) 16 460 251 136 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\LocalService\Application Data

    2004-08-11 21:20 <DIR> .
    2004-08-11 21:20 <DIR> ..
    2004-08-11 21:20 <DIR> Microsoft
    2006-09-22 16:59 <DIR> Symantec
    0 File(s) 0 bytes
    4 Dir(s) 16 460 251 136 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\LocalService\Local Settings\Application Data

    2004-08-11 21:20 <DIR> .
    2004-08-11 21:20 <DIR> ..
    2004-08-11 21:20 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 16 460 251 136 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\NetworkService\Application Data

    2004-08-11 21:20 <DIR> .
    2004-08-11 21:20 <DIR> ..
    2004-08-11 21:20 <DIR> Microsoft
    2004-11-02 12:50 <DIR> Symantec
    0 File(s) 0 bytes
    4 Dir(s) 16 460 251 136 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\NetworkService\Local Settings\Application Data

    2004-08-11 21:20 <DIR> .
    2004-08-11 21:20 <DIR> ..
    2004-08-11 21:20 <DIR> Microsoft
    0 File(s) 0 bytes
    3 Dir(s) 16 460 251 136 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Documents and Settings\Owner\Application Data

    2004-11-01 21:49 <DIR> .
    2004-11-01 21:49 <DIR> ..
    2004-11-01 21:49 <DIR> Symantec
    0 File(s) 0 bytes
    3 Dir(s) 16 460 247 040 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\WINDOWS\system32\config\systemprofile\Application Data

    2004-08-29 15:10 <DIR> .
    2004-08-29 15:10 <DIR> ..
    2004-10-26 16:34 <DIR> Apple Computer
    2004-08-11 21:19 <DIR> Identities
    2004-08-11 21:19 <DIR> Microsoft
    2004-10-26 16:34 <DIR> Real
    2004-10-26 16:34 <DIR> SampleView
    2004-10-26 16:34 <DIR> Sun
    2004-10-26 16:34 <DIR> Symantec
    2004-08-11 21:19 62 desktop.ini
    1 File(s) 62 bytes
    9 Dir(s) 16 460 247 040 bytes free
    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    2004-08-11 21:19 <DIR> .
    2004-08-11 21:19 <DIR> ..
    2004-10-26 16:34 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142030}
    2004-10-26 16:34 <DIR> Apple Computer
    2004-10-26 16:34 <DIR> ApplicationHistory
    2004-08-11 21:19 <DIR> Microsoft
    2004-10-26 16:34 128 fusioncache.dat
    2004-10-26 16:34 6 291 456 IconCache.db
    2 File(s) 6 291 584 bytes
    6 Dir(s) 16 460 247 040 bytes free

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    C:\WINDOWS\Tasks\A99A7A129185ED2E.job
    [Ióî!rÝG¤ûŠFn0ƒF æ <
    8 c : \ d o c u m e ~ 1 \ c o m p a q ~ 1 \ a p p l i c ~ 1 \ h t m b o l ~ 1 \ M E T A B I A S M E S S . e x e
    C o m p a q _ O w n e r 0 Ì <

    C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    s €!2 7 Œ : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - T a s k S Y S T E M 0 × 7

    C:\WINDOWS\Tasks\MP
    MP inexploitable

    C:\WINDOWS\Tasks\Norton
    Norton inexploitable

    ******************************************
    ## Répertoires de C:\Program Files

    Volume in drive C is PRESARIO
    Volume Serial Number is 50D4-DE6D

    Directory of C:\Program Files

    2098-06-06 20:43 <DIR> .
    2098-06-06 20:43 <DIR> ..
    2098-06-06 20:43 <DIR> ableton
    2098-06-05 21:09 <DIR> Accessdiver V4.2
    2007-04-07 05:01 <DIR> Adobe
    2007-03-07 16:19 <DIR> AIST
    2007-02-11 14:30 <DIR> Alcohol Soft
    2007-03-25 15:16 <DIR> Alwil Software
    2007-03-18 00:21 <DIR> Apple Software Update
    2007-05-09 14:51 <DIR> ArtsAcoustic Reverb
    2007-05-05 19:22 <DIR> Arturia
    2007-04-15 10:40 <DIR> ASIO4ALL v2
    2098-06-06 10:51 <DIR> a-squared Free
    2006-10-15 01:16 <DIR> Astonsoft
    2007-03-24 15:21 <DIR> Audacity
    2007-04-02 01:03 <DIR> AV Music Morpher Gold
    2004-08-11 23:51 <DIR> BackWeb
    2098-06-06 12:05 <DIR> BitLord
    2007-05-08 22:37 <DIR> Bits N Bytes
    2098-06-06 12:06 <DIR> Blaze Gif Creator
    2007-04-01 03:11 <DIR> Blue Coat Systems
    2098-06-06 10:13 <DIR> CCleaner
    2098-06-06 12:06 <DIR> CDXtract v3.62
    2007-04-28 19:38 <DIR> Common Files
    2004-08-11 23:51 <DIR> Compaq Connections
    2004-08-11 21:15 <DIR> ComPlus Applications
    2007-03-25 15:08 <DIR> DebugMode
    2098-06-06 20:40 <DIR> Demo Songs
    2007-03-06 16:44 <DIR> Desktop
    2006-09-16 14:20 <DIR> DIFX
    2005-03-05 12:01 <DIR> directx
    2098-06-06 18:49 <DIR> DivX
    2007-04-06 02:05 <DIR> Easy Internet signup
    2007-04-23 08:44 <DIR> EM1
    2007-04-01 00:38 <DIR> eMule
    2098-06-06 18:48 <DIR> eMuleplus
    2098-06-06 18:47 <DIR> FileZilla
    2007-05-11 14:41 <DIR> Free Audio Pack
    2007-02-04 01:24 <DIR> GraphCalc
    2098-06-06 10:15 <DIR> Grisoft
    2007-04-06 17:03 <DIR> Hand-Crafted Software
    2004-08-11 23:54 <DIR> Help and Support Additions
    2004-08-11 23:46 <DIR> Hewlett-Packard
    2007-02-27 13:06 <DIR> Htm Bolt Balm
    2098-06-06 12:06 <DIR> Image-Line
    2007-04-08 21:17 <DIR> ImTOO
    2098-06-06 20:41 3 250 INSTALL.LOG
    2006-09-29 13:39 <DIR> Intel
    2004-08-11 23:28 <DIR> IntelliMover Data Transfer Demo
    2007-05-09 03:08 <DIR> Internet Explorer
    2004-09-04 21:12 <DIR> InterVideo
    2098-06-06 20:34 <DIR> iPod
    2098-06-06 20:35 <DIR> iTunes
    2007-04-28 14:00 <DIR> Java
    2098-06-05 21:55 <DIR> Lavasoft
    2004-12-21 14:39 <DIR> LimeWire
    2001-08-20 00:02 1 261 780 livemanual.pdf
    2005-03-05 12:00 <DIR> Logitech
    2098-06-01 15:27 <DIR> madmax
    2005-02-16 18:47 <DIR> Messenger
    2007-03-05 18:44 <DIR> Messenger Plus! Live
    2007-03-05 18:07 <DIR> Messenger Plus! Live2
    2007-02-03 17:08 <DIR> MessengerDiscovery
    2007-03-10 19:21 <DIR> MessengerPlus! 3
    2004-08-11 23:35 <DIR> Microsoft ActiveSync
    2004-08-11 21:17 <DIR> microsoft frontpage
    2006-10-09 18:00 <DIR> Microsoft Office
    2004-08-11 23:30 <DIR> Microsoft Plus! Dancer LE
    2004-08-11 23:30 <DIR> Microsoft Plus! Digital Media Edition
    2004-08-11 23:30 <DIR> Microsoft Plus! Photo Story 2 LE
    2007-05-01 13:51 <DIR> Microsoft SQL Server
    2004-08-11 23:35 <DIR> Microsoft Visual Studio
    2004-08-11 23:35 <DIR> Microsoft Works
    2004-08-11 23:34 <DIR> Microsoft.NET
    2007-04-07 19:18 <DIR> mIRC
    2004-08-29 15:23 <DIR> Movie Maker
    2098-06-07 08:53 <DIR> Mozilla Firefox
    2098-06-02 12:09 <DIR> MSN
    2007-03-18 02:03 <DIR> MSN Apps
    2004-08-11 23:22 <DIR> MSN Encarta Standard
    2004-08-11 21:14 <DIR> MSN Gaming Zone
    2007-03-29 01:17 <DIR> MSN Messenger
    2007-03-18 04:20 <DIR> MSN Webcam Recorder
    2007-04-09 00:11 <DIR> Naevius YouTube Converter
    2007-05-12 21:09 <DIR> Native Instruments
    2006-12-27 19:04 <DIR> Nero
    2004-08-29 15:23 <DIR> NetMeeting
    2007-01-11 13:39 <DIR> Next Limit
    2007-03-25 15:18 <DIR> Norton AntiVirus
    2004-08-12 00:29 <DIR> Online Services
    2006-12-17 04:01 <DIR> Outlook Express
    2007-04-07 19:31 <DIR> PartyPoker
    2098-06-05 21:24 <DIR> PC-Doctor for Windows
    2007-05-09 21:39 <DIR> Plug-Ins
    2007-05-11 03:31 <DIR> Polyvoks Station VSTi
    2007-03-07 17:20 <DIR> Pure Motion
    2098-06-06 20:29 <DIR> QuickTime
    2007-05-12 21:01 <DIR> REAPER
    2007-04-07 20:45 <DIR> Replay Converter
    2007-05-09 02:34 <DIR> rgcaudio Triangle II
    2007-03-06 22:56 <DIR> Screaming Bee
    2007-01-14 23:43 <DIR> SecondLife
    2006-09-17 16:13 <DIR> Shareaza
    2006-12-18 19:59 <DIR> Skype
    2007-03-18 04:23 <DIR> Solent
    2007-03-07 17:20 <DIR> Sonic Foundry
    2007-05-01 13:40 <DIR> Sony
    2007-05-01 13:34 <DIR> Sony Setup
    2007-03-28 16:18 <DIR> Spybot - Search & Destroy
    2007-04-22 11:13 <DIR> Spybot - Search & Destroy255
    2007-03-31 11:31 <DIR> Spyware Doctor
    2007-04-22 13:28 <DIR> Steinberg
    2007-03-06 21:29 <DIR> StepVoice Recorder
    2007-04-08 00:33 <DIR> Super Jukebox
    2007-04-21 07:31 <DIR> Sygate
    2007-04-22 13:09 <DIR> Syncrosoft
    2007-05-12 21:57 <DIR> Synful
    2007-05-16 00:27 <DIR> Tascam
    2007-04-28 23:09 <DIR> Toon Boom Animation
    2098-06-06 12:07 <DIR> TrojanHunter 4.2
    2004-11-25 17:28 <DIR> TryMedia
    2007-05-09 02:35 2 216 unins000.dat
    2002-12-17 03:00 82 253 unins000.exe
    2001-02-19 13:04 229 891 UNWISE.EXE
    2007-04-25 09:25 <DIR> Verbix7
    2098-06-05 21:14 <DIR> VstPlugins
    2007-04-15 06:29 <DIR> WAV to MP3 Encoder
    2098-06-06 08:45 <DIR> WildTangent
    2007-03-23 22:31 <DIR> Winamp
    2007-03-28 18:29 <DIR> Windows Defender
    2006-12-23 21:21 <DIR> Windows Media Connect 2
    2006-12-23 21:21 <DIR> Windows Media Player
    2004-08-29 15:23 <DIR> Windows NT
    2006-11-08 17:14 <DIR> WinRAR
    2007-02-23 12:58 <DIR> XAudioTools
    2004-08-11 21:17 <DIR> xerox
    2098-06-06 12:08 <DIR> Yahoo!
    5 File(s) 1 579 390 bytes
    132 Dir(s) 16 460 218 368 bytes free

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    www.platinium.ma REG_BINARY
    www.cfl.ca REG_BINARY
    access2.ifriends.net REG_BINARY
    www.telusmobility.com REG_BINARY
    www.mtv.com REG_BINARY
    www.qiran.com REG_BINARY
    mysearchnow.com REG_SZ
    www.mysearchnow.com REG_SZ
    netbios-wait.com REG_SZ
    www.netbios-wait.com REG_SZ
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\COMPAQ_OWNER\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\5129TI8I.DEFAULT\HOSTPERM.1
    host popup 1 rescol.nbed.nb.ca
    host popup 1 nht-team.org
    host popup 1 passporn.blogspot.com
    host popup 1 www.cnetfrance.fr
    host popup 1 www.odaycn.net
    host popup 1 www.anim8ed.org.uk
    host popup 1 www.filefactory.com
    host popup 1 scheme:file
    host popup 1 video.bound-and-gagged.org
    host popup 1 www.music-sites.net
    host popup 1 www.rapidsafe.net
    host popup 1 www.sendspace.com
    host popup 1 galleries1.jizzonglasses.com
    host popup 1 www.yousendit.com
    host popup 1 www.zdnet.fr

    ******************************************
    ## Registre

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Dvd pop REG_SZ C:\DOCUME~1\COMPAQ~1\APPLIC~1\HTMBOL~1\Book Spam.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    une des bestioles est démasquée!!! les autres vont suivre!!!!
    * Télécharge ELIBAGLA en bas de cette page
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    (clique sur le bouton "Descargar Elibagla") sur ton bureau.
    Lance-le, de préférence en mode sans échec si tu en as la possibilité, *** en mode normal dans le cas contraire.
    Patiente le temps du scan.
    Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\

    Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

    Ne pas redémarrer en passant par msconfig.
    reposte un rapport hijack
    0
  11. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    à faire après "elibagla"

    Note comment démarrer en mode sans échec
    https://docs.microsoft.com/en-us/?mfr=true

    Tu vas t'en servir sans accès à internet.

    1/ Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    ("Download Latest Version", sur la droite).
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    2* Crée un nouveau document texte :
    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
    Ouvre-le et copie-colle dedans de ce qui est en italique ci-dessous, (copie tout d'un trait) :
    REGEDIT4
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Dvd pop"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "netsearchsoft.com"=-
    "www.netsearchsoft.com"=-
    "netbios-wait.com"=-
    "www.netbios-wait.com"=-
    "searchweb2.com"=-
    "www.searchweb2.com"=-
    "mysearchnow.com"=-
    www.mysearchnow.


    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

    désinstalle via "Ajout/Suppression de programmes", si tu trouves :
    (si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)
    Htm Bolt Balm

    4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :
    C:\Documents and Settings\All Users\Application Data\Audio Ref Blue Extra
    C:\Documents and Settings\Compaq_Owner\Application Data\ Htm Bolt Balm
    C:\Program Files\Htm Bolt Balm

    recache tes dossiers et fichiers en effectuant la manoeuvre inverse

    5/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :
    del /a C:\WINDOWS\Tasks\A99A7A129185ED2E.job

    valide par entrée, puis ferme la fenêtre de commande.

    6/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    7/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  12. flowzen Messages postés 48 Statut Membre
     
    Papyber, je pense que je vais abandonner :-(

    Je vais recourir a une methode qui mettra fin a ce cauchemar : le formattage puis reinstallation de xp !!
    Je cherche desesperement le contenu du cd dinstallation boot d'xp vu que je ne l'ai pas en posession :S
    afin de l'enregistrer sur cd et le demarrer pour reinstaller de a à z. Mais cela s'avere difficile de se trouver déja ce contenu la.
    En tout cas je te remercie infiniment de ta precieuse aide !!!!
    0
  13. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    pourquoi abandonner?
    on a trouvé ce qui pose problème il n'y a qu'à faire ce que je te dis dans l'ordre et de poster les rapports
    enfin, c'est ton choix
    0
  14. flowzen Messages postés 48 Statut Membre
     
    Hello Papyber !!!
    J'ai du nouveau !
    Mon ordinateur a ete completement formate et reinstalle (avec windowsxp)
    J'ai installe avast , zone alarmpro et spybot.
    Sauf que... lorsque je lance linstallation de mon programme Ableton Live , l'installation se passe superbien mais c'est quand je lance le fichier exe , j'ai l'erreur
    -Ableton Live a rencontre une erreur et doit immediatement fermer-

    J'ai vu que l'erreur venait de la :

    AppName: live 6.0.1.exe AppVer: 1.0.0.1 ModName: live 6.0.1.exe
    ModVer: 1.0.0.1 Offset: 0087b4c6

    Pourtant , j'ai meme telecharge la version demo et je tombe sur le meme message !
    nb: mon ordinateur est completement vide de virus je viens a peine de le demarrer !
    0
  15. flowzen Messages postés 48 Statut Membre
     
    J'ai installe Spybot et il y a encore des virus !!!!!
    Le formatage et la reinstallation de xp n'ont servi a rien o_o
    Je vais voir BlackLight et LopXPMH !!!
    0
  16. flowzen Messages postés 48 Statut Membre
     
    Jai encore cette version trial de Blacklight cest ennervant x-(
    Jai cherche un lien rapidshare pour ce logiciel mais je nai rien trouve :-(

    Jai a nouveau explique le probleme dans ce post:
    http://commentcamarche.net/forum/affich-3093771-xp-logs-rootkitreveal-gmer
    0
  17. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge Blacklight (le 1er de la page) (c'est la seule valable et possible)
    https://europe.f-secure.com/exclude/blacklight/index.shtml

    Enregistre le sur ton Bureau.
    Double-clique fsbl.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    poste ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents, tel wbemtest.exe
    0