Virus msn Fermé

Question

Bonsoir, 

Voilà comme recommandé par chrifleur, j'ouvre un nouveau topic. En fait, mon problème concerne ce fameux virus  "wow, tu ressembles bcp à ce top model..." que j'ai chopé dernièrement. Comme la résolution du problème n'est pas commune ni standard, je serai ravie si quelqu'un pourrait m'aider; je lui en serai reconnaissante. Merci d'avance.


Voilà le rapport de mon dernier scan  HiJackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:09, on 2007-11-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Larousse Multimédia\LCAD\bin\hiAksMultiling.exe
C:\Program Files\Menara\dslmon.exe
C:\PROGRA~1\LAROUS~1\Shared\bin\hisrv.exe
C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [site slow army wait] C:\Documents and Settings\All Users\Application Data	hehelpsiteslow\cakeatom.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Title Vga] C:\DOCUME~1\CHERIQI\APPLIC~1\encwipe\settingshidetrans.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ask Larousse Chambers.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

lla_lam · Answer

Bonsoir.

Dans le cas d'un virus MSN qu'un antivirus standard n'arrive pas à supprimer, il est recommnadé d'utiliser MsnFix. Lisez ce topic :

http://www.commentcamarche.net/forum/affich 3905756 aide pour se d barasser de k3d3t4t8n7l exe#0

lla_lam · Answer

Voici d'autres sujets de CCM qui ont trait à votre problème :

http://www.commentcamarche.net/forum/affich 3796988 virus msn tu ressembles bcp cette top model

http://www.commentcamarche.net/forum/affich 3829105 virus msn wow tu ressemble


En général, cette solution est fiable.

chrifleur · Answer

bonjour et merci d'avoir suivi mes conseils
MsnFix n'a rien trouvé, par contre il y a infection lop
je te prépare la suite et je reviens

chrifleur · Answer

1/ Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
("Download Latest Version", sur la droite).
 Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

2* Crée un nouveau document texte : 
clic droit de souris sur le bureau, "Nouveau"> "Document Texte". 
Ouvre-le et copie-colle dedans de ce qui est ci-dessous, (copie tout d'un trait) : 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"site slow army wait"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Title Vga"=-

Puis "fichier"/"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : reglop.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer" 

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)

1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur *****

 désinstalle via "Ajout/Suppression de programmes", si tu trouves : 
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

encwipe

4/ Assure toi d'avoir accès aux dossiers/fichiers cachés : 
Ouvrir un dossier, n'importe lequel. Aller dans : 
Outils/Options des dossiers/Affichage et 
- cocher "afficher les dossiers et fichiers cachés", 
- décocher "masquer les extensions des fichiers dont le type est connu". 
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)" 
"appliquer" et "ok" 

recherche et supprime ces dossiers ou fichiers en gras
C:\Documents and Settings\All Users\Application Data\ thehelpsiteslow
C:\Documents and Settings\CHERIQI\Application Data\encwipe
C:\Program Files\encwipe 
 
recache tes dossiers et fichiers en effectuant la manoeuvre inverse 

5/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre : 

del /a C:\WINDOWS\Tasks\AE7B718191E0EE45.job

valide par entrée, puis ferme la fenêtre de commande. 

6/ double clique sur reglop.reg => tu dois obligatoirement avoir un message 
"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui" 

7/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation

kitten · Answer

Bonjour, 

Merci lla_lam et chrifleur.

Chrifleur, j'ai suivi tes instructions mais j'arrive pas à démarrer mon pc en mode sans échec. En fait, il n'y a aucun bip lors du démarrage donc j'ai appuyé sur F8 directement après le lancement du démarrage et voilà le message que j'ai eu:

Boot Device:
 - Hard Disk
 - CD-ROM/DVD
 - Floppy Disk
 - LAN Boot

Quant à la touche F5, elle me donne rien du tout, mon pc redémarre normalement


PS Je ne sais pas si c'est une information utile ou pas mais au démarrage, en bas du premier écran qui s'affiche est écrit:

"Press F2 for Bios Setup, Press F8 for Boot Order"

Merci bcp de m'aider!

chrifleur · Answer

fais le en mode normal

kitten · Answer

Voilà ce que j'ai fait: 

- Encwipe n'existe pas sur ma liste d'ajout/suppression de programmes
- En allant vers C:\Program Files\encwipe , j'ai fait les manœuvres pour afficher les fichiers cachés, mais quand j'ouvre encwipe il n'y a aucun fichier dedans (je me suis assurée en vérifiant les propriétés, la taille du dossier est 0)

J'ai essayé de supprimer ces fichiers:
C:\Documents and Settings\All Users\Application Data\ thehelpsiteslow
C:\Documents and Settings\CHERIQI\Application Data\encwipe
C:\Program Files\encwipe 

--> Pour le premier, il y avait deux fichiers dans le dossier "thehelpsiteslow", un a été supprimé l'autre non: message d'erreur: "impossible de supprimer bone setup deaf: cette ressource est utilisée par une autre personne ou un autre programme" (j'ai esayé de refaire la manip en fermant toutes mes fenêtres internet mis ça n'a pas marché non plus)

--> Quant à encwipe, je l'ai supprimé des deux emplacements


Je passe à l'étape suivante même si "thehelpsiteslow" n'a pas été supprimé?

chrifleur · Answer

remet un rapport lopxpmh stp

kitten · Answer

voilà le rapport lopxmph

Rapport lopxpMH2 version 2.0 fait à 21:51:18,12 le 2007-11-02
C:\Documents and Settings\CHERIQI\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\All Users\Application Data

2007-02-10 22:31 <REP> .
2007-02-10 22:31 <REP> ..
2007-02-11 12:39 <REP> Adobe
2007-02-11 13:08 <REP> Ahead
2007-02-11 13:23 <REP> CyberLink
2007-03-12 21:46 <REP> Downloaded Installations
2007-08-08 20:33 <REP> Google
2007-02-10 22:31 <REP> Microsoft
2007-03-12 21:47 <REP> PC Suite
2007-02-11 10:33 <REP> Symantec
2007-04-13 21:01 <REP> thehelpsiteslow
2007-03-03 10:07 <REP> Windows Genuine Advantage
2007-02-11 12:05 <REP> Windows Live Toolbar
2007-02-10 22:31 62 desktop.ini
1 fichier(s) 62 octets
13 Rép(s) 17 728 606 208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\CHERIQI\Application Data

2007-02-10 23:52 <REP> .
2007-02-10 23:52 <REP> ..
2007-02-11 12:52 <REP> Adobe
2007-02-11 12:53 <REP> AdobeUM
2007-03-12 21:53 <REP> Ahead
2007-02-13 21:05 <REP> CyberLink
2007-03-17 20:12 <REP> Datalayer
2007-04-15 16:53 <REP> DivX
2007-04-13 21:00 <REP> encwipe
2007-03-02 20:35 <REP> Help
2007-02-10 23:52 <REP> Identities
2007-02-15 11:37 <REP> Macromedia
2007-02-10 23:52 <REP> Microsoft
2007-03-02 18:32 <REP> Mozilla
2007-03-12 21:50 <REP> Nokia
2007-03-12 22:03 <REP> Nokia Multimedia Player
2007-03-12 21:47 <REP> PC Suite
2007-04-13 21:01 <REP> Screenshot Sender
2007-03-11 21:26 <REP> Sun
2007-03-02 18:39 <REP> Talkback
2007-05-04 14:11 <REP> U3
2007-04-15 19:55 <REP> vlc
2007-02-10 23:52 62 desktop.ini
2007-04-11 19:39 168 849 NMM-MetaData.db
2 fichier(s) 168 911 octets
22 Rép(s) 17 728 606 208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\CHERIQI\Local Settings\Application Data

2007-02-10 23:52 <REP> .
2007-02-10 23:52 <REP> ..
2007-02-11 12:53 <REP> Adobe
2007-08-06 20:50 <REP> Ahead
2007-08-14 10:46 <REP> Ares
2007-08-08 20:33 <REP> Google
2007-03-02 20:35 <REP> Help
2007-03-09 01:16 <REP> Identities
2007-02-10 23:52 <REP> Microsoft
2007-03-02 18:33 <REP> Mozilla
2007-07-22 22:56 <REP> Musicmatch
2007-02-11 10:34 <REP> Symantec
2007-03-03 01:06 <REP> WMTools Downloaded Files
2007-03-02 18:47 23 552 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2007-02-11 10:31 114 112 GDIPFONTCACHEV1.DAT
2007-02-10 23:53 3 094 614 IconCache.db
3 fichier(s) 3 232 278 octets
13 Rép(s) 17 728 606 208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\Default User\Application Data

2007-02-10 22:31 <REP> .
2007-02-10 22:31 <REP> ..
2007-02-10 22:31 <REP> Microsoft
2007-02-10 22:31 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 17 728 606 208 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

2007-02-10 22:31 <REP> .
2007-02-10 22:31 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 17 728 602 112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\LocalService\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 728 602 112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 728 602 112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\NetworkService\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 728 602 112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 728 602 112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

2007-02-10 23:47 <REP> .
2007-02-10 23:47 <REP> ..
2007-02-10 23:47 <REP> Microsoft
2007-02-10 23:47 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 17 728 602 112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

2007-02-10 23:47 <REP> .
2007-02-10 23:47 <REP> ..
2007-02-11 10:31 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 728 602 112 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\AE7B718191E0EE45.job
@™qG[A§•+EêDrF Þ <
s "ˆ!× 9 c : \ d o c u m e ~ 1 \ c h e r i q i \ a p p l i c ~ 1 \ e n c w i p e \ D o w n l o a d b i n w a v e . e x e C H E R I Q I € 0 Ë

C:\WINDOWS\Tasks\Check
Check inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Program Files

2007-11-02 21:45 <REP> .
2007-11-02 21:45 <REP> ..
2007-10-26 16:17 <REP> Adobe
2007-02-11 13:13 <REP> Ahead
2007-08-14 10:46 <REP> Ares
2007-02-11 12:14 <REP> ATI Technologies
2007-02-10 23:42 <REP> ComPlus Applications
2007-02-11 12:17 <REP> CONEXANT
2007-08-28 12:27 <REP> Creative
2007-05-11 17:43 <REP> CyberLink
2007-03-12 21:48 <REP> DIFX
2007-04-15 16:52 <REP> DivX
2007-04-13 21:00 <REP> encwipe
2007-08-15 15:04 <REP> Fichiers communs
2007-10-11 00:00 <REP> Internet Explorer
2007-10-14 20:39 <REP> Java
2007-02-11 12:41 <REP> Larousse Multimédia
2007-02-11 12:15 <REP> LCD-Test
2007-10-26 17:17 <REP> Macrogaming
2007-02-25 23:57 <REP> Menara
2007-02-28 14:09 <REP> Messenger
2007-02-10 23:45 <REP> microsoft frontpage
2007-02-11 11:16 <REP> Microsoft Office
2007-02-11 11:16 <REP> Microsoft Works
2007-02-11 11:17 <REP> Microsoft.NET
2007-03-03 00:56 <REP> Movie Maker
2007-11-02 20:18 <REP> Mozilla Firefox
2007-02-10 23:41 <REP> MSN
2007-02-10 23:41 <REP> MSN Gaming Zone
2007-10-26 17:37 <REP> MSN Messenger
2007-03-15 06:41 <REP> MSXML 4.0
2007-10-26 16:26 <REP> MUSICMATCH
2007-02-11 10:20 <REP> NetMeeting
2007-03-12 21:48 <REP> Nokia
2007-06-17 01:46 <REP> Outlook Express
2007-02-11 12:16 <REP> Packard Bell ImageWriter
2007-05-11 17:44 <REP> Pinnacle
2007-03-02 21:06 <REP> PIXELA
2007-03-02 20:32 <REP> QuickTime
2007-03-02 20:34 <REP> Real
2007-08-07 18:28 <REP> SAGEM
2007-02-10 23:43 <REP> Services en ligne
2007-02-11 10:33 <REP> Symantec
2007-11-02 20:14 <REP> Symantec AntiVirus
2007-11-02 18:34 <REP> Trend Micro
2007-03-02 20:29 <REP> Ulead Systems
2007-04-15 19:46 <REP> VideoLAN
2007-02-11 12:05 <REP> Windows Live Toolbar
2007-03-02 19:21 <REP> Windows Media Connect 2
2007-03-02 19:21 <REP> Windows Media Player
2007-02-11 10:20 <REP> Windows NT
2007-04-04 14:53 <REP> WinRAR
2007-02-10 23:45 <REP> xerox
0 fichier(s) 0 octets
53 Rép(s) 17 728 598 016 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\CHERIQI\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\OJMPLBOA.DEFAULT\HOSTPERM.1
host popup 1 scheme:file
host popup 1 www.skyrock.com
host popup 1 www.myheritage.com
host popup 1 www.marocfree.net

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.bing.com/spresults.aspx

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PCSuiteTrayApplication REG_SZ C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
site slow army wait REG_SZ C:\Documents and Settings\All Users\Application Data\thehelpsiteslow\cakeatom.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Title Vga REG_SZ C:\DOCUME~1\CHERIQI\APPLIC~1\encwipe\settingshidetrans.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************
Rapport lopxpMH2 version 2.0 fait à 14:18:17,48 le 2007-11-03
C:\Documents and Settings\CHERIQI\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\All Users\Application Data

2007-02-10 22:31 <REP> .
2007-02-10 22:31 <REP> ..
2007-02-11 12:39 <REP> Adobe
2007-02-11 13:08 <REP> Ahead
2007-02-11 13:23 <REP> CyberLink
2007-03-12 21:46 <REP> Downloaded Installations
2007-08-08 20:33 <REP> Google
2007-02-10 22:31 <REP> Microsoft
2007-03-12 21:47 <REP> PC Suite
2007-02-11 10:33 <REP> Symantec
2007-04-13 21:01 <REP> thehelpsiteslow
2007-03-03 10:07 <REP> Windows Genuine Advantage
2007-02-11 12:05 <REP> Windows Live Toolbar
2007-02-10 22:31 62 desktop.ini
1 fichier(s) 62 octets
13 Rép(s) 17 575 116 800 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\CHERIQI\Application Data

2007-02-10 23:52 <REP> .
2007-02-10 23:52 <REP> ..
2007-02-11 12:52 <REP> Adobe
2007-02-11 12:53 <REP> AdobeUM
2007-03-12 21:53 <REP> Ahead
2007-02-13 21:05 <REP> CyberLink
2007-03-17 20:12 <REP> Datalayer
2007-04-15 16:53 <REP> DivX
2007-03-02 20:35 <REP> Help
2007-02-10 23:52 <REP> Identities
2007-02-15 11:37 <REP> Macromedia
2007-02-10 23:52 <REP> Microsoft
2007-03-02 18:32 <REP> Mozilla
2007-03-12 21:50 <REP> Nokia
2007-03-12 22:03 <REP> Nokia Multimedia Player
2007-03-12 21:47 <REP> PC Suite
2007-04-13 21:01 <REP> Screenshot Sender
2007-03-11 21:26 <REP> Sun
2007-03-02 18:39 <REP> Talkback
2007-05-04 14:11 <REP> U3
2007-04-15 19:55 <REP> vlc
2007-02-10 23:52 62 desktop.ini
2007-04-11 19:39 168 849 NMM-MetaData.db
2 fichier(s) 168 911 octets
21 Rép(s) 17 575 104 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\CHERIQI\Local Settings\Application Data

2007-02-10 23:52 <REP> .
2007-02-10 23:52 <REP> ..
2007-02-11 12:53 <REP> Adobe
2007-08-06 20:50 <REP> Ahead
2007-08-14 10:46 <REP> Ares
2007-08-08 20:33 <REP> Google
2007-03-02 20:35 <REP> Help
2007-03-09 01:16 <REP> Identities
2007-02-10 23:52 <REP> Microsoft
2007-03-02 18:33 <REP> Mozilla
2007-07-22 22:56 <REP> Musicmatch
2007-02-11 10:34 <REP> Symantec
2007-03-03 01:06 <REP> WMTools Downloaded Files
2007-03-02 18:47 23 552 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2007-02-11 10:31 114 112 GDIPFONTCACHEV1.DAT
2007-02-10 23:53 3 094 614 IconCache.db
3 fichier(s) 3 232 278 octets
13 Rép(s) 17 575 104 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\Default User\Application Data

2007-02-10 22:31 <REP> .
2007-02-10 22:31 <REP> ..
2007-02-10 22:31 <REP> Microsoft
2007-02-10 22:31 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 17 575 104 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

2007-02-10 22:31 <REP> .
2007-02-10 22:31 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 17 575 104 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\LocalService\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 575 104 512 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 575 100 416 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\NetworkService\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 575 100 416 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

2007-02-10 23:51 <REP> .
2007-02-10 23:51 <REP> ..
2007-02-10 23:51 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 575 100 416 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

2007-02-10 23:47 <REP> .
2007-02-10 23:47 <REP> ..
2007-02-10 23:47 <REP> Microsoft
2007-02-10 23:47 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 17 575 100 416 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

2007-02-10 23:47 <REP> .
2007-02-10 23:47 <REP> ..
2007-02-11 10:31 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 17 575 100 416 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\AE7B718191E0EE45.job
@™qG[A§•+EêDrF Þ <
s "ˆ!× 9 c : \ d o c u m e ~ 1 \ c h e r i q i \ a p p l i c ~ 1 \ e n c w i p e \ D o w n l o a d b i n w a v e . e x e C H E R I Q I € 0 Ë

C:\WINDOWS\Tasks\Check
Check inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C29-26F4

Répertoire de C:\Program Files

2007-11-03 12:04 <REP> .
2007-11-03 12:04 <REP> ..
2007-10-26 16:17 <REP> Adobe
2007-02-11 13:13 <REP> Ahead
2007-08-14 10:46 <REP> Ares
2007-02-11 12:14 <REP> ATI Technologies
2007-11-03 10:31 <REP> CCleaner
2007-02-10 23:42 <REP> ComPlus Applications
2007-02-11 12:17 <REP> CONEXANT
2007-08-28 12:27 <REP> Creative
2007-05-11 17:43 <REP> CyberLink
2007-03-12 21:48 <REP> DIFX
2007-04-15 16:52 <REP> DivX
2007-08-15 15:04 <REP> Fichiers communs
2007-10-11 00:00 <REP> Internet Explorer
2007-10-14 20:39 <REP> Java
2007-02-11 12:41 <REP> Larousse Multimédia
2007-02-11 12:15 <REP> LCD-Test
2007-10-26 17:17 <REP> Macrogaming
2007-02-25 23:57 <REP> Menara
2007-02-28 14:09 <REP> Messenger
2007-02-10 23:45 <REP> microsoft frontpage
2007-02-11 11:16 <REP> Microsoft Office
2007-02-11 11:16 <REP> Microsoft Works
2007-02-11 11:17 <REP> Microsoft.NET
2007-03-03 00:56 <REP> Movie Maker
2007-11-03 11:56 <REP> Mozilla Firefox
2007-02-10 23:41 <REP> MSN
2007-02-10 23:41 <REP> MSN Gaming Zone
2007-10-26 17:37 <REP> MSN Messenger
2007-03-15 06:41 <REP> MSXML 4.0
2007-10-26 16:26 <REP> MUSICMATCH
2007-02-11 10:20 <REP> NetMeeting
2007-03-12 21:48 <REP> Nokia
2007-06-17 01:46 <REP> Outlook Express
2007-02-11 12:16 <REP> Packard Bell ImageWriter
2007-05-11 17:44 <REP> Pinnacle
2007-03-02 21:06 <REP> PIXELA
2007-03-02 20:32 <REP> QuickTime
2007-03-02 20:34 <REP> Real
2007-08-07 18:28 <REP> SAGEM
2007-02-10 23:43 <REP> Services en ligne
2007-02-11 10:33 <REP> Symantec
2007-11-03 11:12 <REP> Symantec AntiVirus
2007-11-02 18:34 <REP> Trend Micro
2007-03-02 20:29 <REP> Ulead Systems
2007-04-15 19:46 <REP> VideoLAN
2007-02-11 12:05 <REP> Windows Live Toolbar
2007-03-02 19:21 <REP> Windows Media Connect 2
2007-03-02 19:21 <REP> Windows Media Player
2007-02-11 10:20 <REP> Windows NT
2007-04-04 14:53 <REP> WinRAR
2007-02-10 23:45 <REP> xerox
0 fichier(s) 0 octets
53 Rép(s) 17 575 084 032 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\CHERIQI\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\OJMPLBOA.DEFAULT\HOSTPERM.1
host popup 1 scheme:file
host popup 1 www.skyrock.com
host popup 1 www.myheritage.com
host popup 1 www.marocfree.net

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.bing.com/spresults.aspx

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PCSuiteTrayApplication REG_SZ C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
site slow army wait REG_SZ C:\Documents and Settings\All Users\Application Data\thehelpsiteslow\cakeatom.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Title Vga REG_SZ C:\DOCUME~1\CHERIQI\APPLIC~1\encwipe\settingshidetrans.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

chrifleur · Answer

ok on va les supprimer autrement
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
C:\WINDOWS\Tasks\AE7B718191E0EE45.job
C:\Documents and Settings\All Users\Application Data\ thehelpsiteslow
C:\Documents and Settings\CHERIQI\Application Data\encwipe
C:\Program Files\encwipe 
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

fait le "reglop" et poste un rapport hikack this et un nouveau lopxpmh

kitten · Answer

***Rapport OTmoveit:

C:\WINDOWS\Tasks\AE7B718191E0EE45.job moved successfully.
File/Folder C:\Documents and Settings\All Users\Application Data\ thehelpsiteslow not found.
File/Folder C:\Documents and Settings\CHERIQI\Application Data\encwipe not found.
File/Folder C:\Program Files\encwipe not found.
 
Created on 11-03-2007 23:35:54


***reglop: effectué

***rapport hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:24, on 2007-11-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
C:\Program Files\Larousse Multimédia\LCAD\bin\hiAksMultiling.exe
C:\Program Files\Menara\dslmon.exe
C:\PROGRA~1\LAROUS~1\Shared\bin\hisrv.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ask Larousse Chambers.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

chrifleur · Answer

relance OTMoveIT
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\Documents and Settings\All Users\Application Data	hehelpsiteslow


clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/ 

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte 
La fenêtre change encore, clique sur scanner 
Les signatures se chargent, etc. 

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

kitten · Answer

J'ai réessayé de supprimer le fichier avec OTMoveit mais apparement ça marche pas, voilà le résultat:

File/Folder C:\Documents and Settings\All Users\Application not found.
File/Folder Data	hehelpsiteslow not found.
 
Created on 11-04-2007 12:18:40

Quant au scan de BitDefender, je te passe le rapport:

file:///C:/Documents%20and%20Settings/CHERIQI/Bureau/analyse%20bitdefender.html

kitten · Answer

ah zut! comment je fais pour te poster le rapport BitDefender?

chrifleur · Answer

tu le copies colle
tu le trouves ici en principe
C:\windows\bdoscan8\scanres.txt ou scanres.html

kitten · Answer

ok! merci! 

L'analyse m'inquiète, ai-je bcp d'infections?


BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Sun, Nov 04, 2007 - 13:26:56

 
	

 
	

 

Voie d'analyse: C:\;D:\;E:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:58:04

Fichiers
	

181708

Directoires
	

3770

Secteurs de boot
	

3

Archives
	

1150

Paquets programmes
	

6445
	

 
	

 

Résultats

Virus identifiés
	

2

Fichiers infectés
	

13

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

23
	

 
	

 

Info sur les moteurs

Définition virus
	

860209

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02040000\46864EA2.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02040000\46864EA2.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02040000\46864EA2.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02040001\46865404.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02040001\46865404.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\02040001\46865404.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\03300000\473BD633.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\03300000\473BD633.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\03300000\473BD633.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05AC0000\47BE2F74.VBN=>(Quarantine-PE)
	

Infecté par: Backdoor.IRCBot.ABGB

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\05AC0000\47BE2F74.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08600000\4F7A3D40.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08600000\4F7A3D40.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08600000\4F7A3D40.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08600001\4F7A3D52.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08600001\4F7A3D52.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08600001\4F7A3D52.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09100000\4F966D87.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09100000\4F966D87.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09100000\4F966D87.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09100001\4F967B62.VBN=>(Quarantine-PE)
	

Infecté par: Trojan.FatObfus.Gen

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09100001\4F967B62.VBN=>(Quarantine-PE)
	

Echec de la désinfection

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09100001\4F967B62.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0CF40000\4FFF861F.VBN=>(Quarantine-PE)
	

Infecté par: Backdoor.IRCBot.ABGB

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0CF40000\4FFF861F.VBN=>(Quarantine-PE)
	

Supprimé

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0EB00000\4FB9F7EB.VBN=>(Quarantine-PE)
	

Infecté par: Backdoor.IRCBot.ABGB

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0EB00000\4FB9F7EB.VBN=>(Quarantine-PE)
	

Supprimé

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053678.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053678.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053678.exe
	

Supprimé

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053684.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053684.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053684.exe
	

Supprimé

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053685.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053685.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{796669E9-133F-4D19-8EB2-D7AA3CB9E8DF}\RP148\A0053685.exe
	

Supprimé

chrifleur · Answer

rien d'inquiérant
tout est dans la quarantaine de Norton et dans ta restauration système
Maintenant il te reste ceci à effectuer

1/
Supprime tous les outils utilisés:
HijackThis, Navilog, smitfraudfix qui sont spécifiques pour des infections et ne te serviront plus!
Supprime aussi tous les rapports obtenus!

Tu peux néanmoins conserver Ccleaner et AVG antispyware, mis à jour régulièrement, ils te serviront, l'un, Ccleaner, pour le nettoyage quotidien de ton PC, l'autre, AVG Antispyware, pour la recherche d'éventuelles infections...

2/
Restauration système
Désactive ta restauration
Clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
Redémarre ton PC 
Réactive ta restauration
Clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK
Redémarre ton PC

3/
Nettoyage et Défragmentation de tes Disques
Nettoyage
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques

Vérifications des erreurs
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases
réparer automatiquement les erreurs...
rechercher et tenter une récupération...
Démarrer, ok
tu le fais pour chacun de tes disques

ensuite toujours dans le même onglet tu choisis
Défragmentation
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques

==>

Tu as été infecté, et je pense qu'au travers des différentes manoeuvres données, tu as compris que tu étais mal protégé...

Je te conseille donc de lire attentivement ce qui suit et de suivre les conseils prodigués

==>

Tu trouveras sur ce lien les différentes mises à jour de sécurité à effectuer, suivant les logiciels que tu possèdes.
https://forum.pcastuces.com/sujet.asp?f=25&s=25842

==>

La protection de ton Pc

La sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
Outre la parfaite mise à jour du système d'exploitation, désormais, pour surfer tranquillement et sans soucis sur "le Net", il faut se protéger au maximum!
Pour cela il faut :

1. en résident : Il est résident sur ton PC, c'est à dire qu'il fonctionne dès la mise en route de ton Système.
/- un bon antivirus, gratuit ou payant, mis régulièrement à jour, qui te protège en temps réel! 
/- un pare feu autre que celui fourni par Windows, comme Zone Alarm ou Kerio qui te protège aussi en temps réel! 
/- un anti spyware efficace, type Spybot Search and Destroy, avec sa protection résidente, Tea Timer, activée!! 
Tu scannes ton PC toutes les semaines environ avec, après l'avoir mis à jour, et tu as aussi sa protection en temps réel qui te protège.

2. pour scanner régulièrement ton PC
/- un anti trojan efficace, comme AVG antispyware .A la fin d'une période d'essai du logiciel, il est proposé une version payante que tu n'es pas obligé d'acheter. Il perd alors sa fonction "résident" et tu dois faire les mises à jour manuellement. Il reste néanmoins très utile pour scanner régulièrement ton PC et le nettoyer d'éventuelles infections.

3. un logiciel comme Spyware Blaster qui empêche l'installation d'ActiveX nuisibles. 
Il faut régulièrement le mettre à jour pour inscrire les ActiveX dangereux dans sa base de données, et ainsi être protégé contre eux, puisque son rôle est d'empêcher leur installation.

4. un bon navigateur tel Firefox ou Opera pour remplacer IE, que tu ne conserves que pour effectuer les mises à jour de Windows! 

Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants 
https://forum.pcastuces.com/default.asp

dans celui-ci, tesgaz t'explique les risques du P2P 
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

dans celui-là, les risques du crack 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

Nous voulons aider avec de plus en plus d'efficacité et lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !
Avec un peu de prévention, il est possible d'être à l'abri des menaces !
S'il te plaît, fais passer le mot autour de toi !
S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !
Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier!

==>

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

*** Ton infection : LOP Virus MSN  Backdoor.IRCBot.ABGB 

>> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)

bonne continuation

kitten · Answer

Merci bcp chrifleur! je n'sais pas qu'est ce j'aurai pu faire sans toi. Là j'ai pas trop le temps pour appliquer ce qui est indiqué dans ton dernier post, mais je le ferai plus tard dans la journée. Je suivrai tes conseils à la lettre!

Un grand MERCI!

Virus msn

18 réponses

Discussions similaires