Sujet Précédent Sujet Suivant

Cheval de Troie... Aidez-moi s.v.p!!

Fermé
ECHO993 - 26 nov. 2007 à 22:24
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 29 nov. 2007 à 11:41
Bonjour, dernièrement, j'ai attraper un virus et je ne suis pas capable de le retirer. J'ai tout fait les indications qui sont demandés pour retirer un virus et je vous envoi les rapports finaux. Merci d'avance si vous pouvez m'aider.

Scan avec CCleaner

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:31:09 2007-11-25

+ Résultat de l'analyse:



C:\Documents and Settings\Simon\Cookies\simon@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.31:C:\Documents and Settings\Simon\Application Data\Mozilla\Firefox\Profiles\9fajdbj3.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.32:C:\Documents and Settings\Simon\Application Data\Mozilla\Firefox\Profiles\9fajdbj3.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\Simon\Application Data\Mozilla\Firefox\Profiles\9fajdbj3.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Simon\Cookies\simon@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.8:C:\Documents and Settings\Simon\Application Data\Mozilla\Firefox\Profiles\9fajdbj3.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.19:C:\Documents and Settings\Simon\Application Data\Mozilla\Firefox\Profiles\9fajdbj3.default\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Simon\Cookies\simon@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
:mozilla.20:C:\Documents and Settings\Simon\Application Data\Mozilla\Firefox\Profiles\9fajdbj3.default\cookies.txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Simon\Cookies\simon@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.


Fin du rapport


Rapport avec BitDefender

BitDefender Online Scanner



Scan report generated at: Sun, Nov 25, 2007 - 22:39:11





Scan path: C:\;D:\;F:\;







Statistics

Time
01:01:25

Files
278965

Folders
4560

Boot Sectors
4

Archives
7433

Packed Files
11089




Results

Identified Viruses
1

Infected Files
4

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4




Engines Info

Virus Definitions
878835

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Documents and Settings\Simon\Local Settings\Temp\HIBHBUJCGCOBL
Infected with: Trojan.Fakealert.OZ

C:\Documents and Settings\Simon\Local Settings\Temp\HIBHBUJCGCOBL
Disinfection failed

C:\Documents and Settings\Simon\Local Settings\Temp\HIBHBUJCGCOBL
Deleted

C:\Documents and Settings\Simon\Local Settings\Temp\UJMOCONHUNLJH
Infected with: Trojan.Fakealert.OZ

C:\Documents and Settings\Simon\Local Settings\Temp\UJMOCONHUNLJH
Disinfection failed

C:\Documents and Settings\Simon\Local Settings\Temp\UJMOCONHUNLJH
Deleted

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\YKPQLVME\pic[1].htm
Infected with: Trojan.Fakealert.OZ

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\YKPQLVME\pic[1].htm
Disinfection failed

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\YKPQLVME\pic[1].htm
Deleted

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\XSKVSXQX\pic[1].htm
Infected with: Trojan.Fakealert.OZ

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\XSKVSXQX\pic[1].htm
Disinfection failed

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\XSKVSXQX\pic[1].htm
Deleted


Rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:36, on 2007-11-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\tp4serv.exe
C:\Program Files\NavNT\defwatch.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
C:\WINNT\System32\Fast.exe
C:\WINNT\System32\taskswitch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\AGRSMMSG.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINNT\system32\MsgSys.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%3f
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%3f
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = webcache:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ourcolgate;mysap.esc.win.colpal.com;*.esc.win.colpal.com;*.win.colpal.com;ourcolgate*;<local>
O1 - Hosts: 100.10.10.2 pcslip
O1 - Hosts: 167.228.1.102 aauspwya ctla
O1 - Hosts: 167.228.1.125 aauspwy0 ctl # SP2 control workstation
O1 - Hosts: 167.228.1.126 aauspwz0 alt # SP2 alt control station ethernet
O1 - Hosts: 167.228.1.177 dauspwy1 tc590 # Payroll test/dev env
O1 - Hosts: 167.228.1.105 dsuspw80 # Europe db server 4000 8 way
O1 - Hosts: 167.228.1.145 dsuspwl0 # SUN US CPPROD
O1 - Hosts: 167.228.43.106 dsusjf40 # BUS
O1 - Hosts: 167.228.1.112 asuspwb0 # desktop Joe S
O1 - Hosts: 167.228.1.114 asuspwz0 sunalt # sun ultra 1
O1 - Hosts: 167.228.1.115 fleissu1 # desktop
O1 - Hosts: 167.228.1.116 asuspwj0 # desktop Tom Brown
O1 - Hosts: 167.228.1.117 asuspws0 # desktop
O1 - Hosts: 167.228.1.118 asuspwt0 # desktop
O1 - Hosts: 167.228.1.121 dsuspwi0 # 3000 for Lightning
O1 - Hosts: 167.228.1.122 asuspw50 # US app server
O1 - Hosts: 167.228.1.127 asuspwe0 # Europe ETS server
O1 - Hosts: 167.228.1.128 dsuspwf0 # Europe backup db server
O1 - Hosts: 167.228.1.130 drec10 # Disaster Recovery Test System
O1 - Hosts: 167.228.1.131 dsuspwb0 # BW Prod Testing
O1 - Hosts: 167.228.43.182 dausjfc0 # New BUS Server
O1 - Hosts: 167.228.14.62 dauspwa0 # New Prod Server
O1 - Hosts: 167.228.1.132 dsuspwc0 # BW Backup DB server
O1 - Hosts: 167.228.1.133 asuspwh0 # Europe app server
O1 - Hosts: 167.228.1.134 drec00 # Disaster Recovery Test System
O1 - Hosts: 167.228.1.136 dsuspwn0 # GIT PRD server
O1 - Hosts: 167.228.1.138 dsuspwr0 # COP database server
O1 - Hosts: 167.228.43.52 dsuspwj0 # US BW Test/Dev server
O1 - Hosts: 167.228.1.140 u2a5000 # Ultra 2 A-5000 test box
O1 - Hosts: 167.228.1.141 dsuspw30 # TPS Sun 3-way
O1 - Hosts: 167.228.1.142 asuspwrb # Reel backup server
O1 - Hosts: 167.228.1.144 dsuspw00 # Europe Production 6000
O1 - Hosts: 167.228.1.145 dsuspw10 sun12way # US PRD backup db server 6000
O1 - Hosts: 167.228.1.146 dsuspw20 sun20way cp20 # US PRD server 6000
O1 - Hosts: 167.228.1.147 asuspw30 sun6way # US app server 6-way
O1 - Hosts: 167.228.1.148 asuspw40 sun6way1 # US app server 6-way
O1 - Hosts: 167.228.1.149 asuspwy0 sunctl # sun sparc5
O1 - Hosts: 167.228.1.150 asuspwx0 # desktop
O1 - Hosts: 167.228.1.179 dsuspwm0 # metaphor box
O1 - Hosts: 167.228.1.185 gabetest # COT/COD 3000 4 way
O1 - Hosts: 167.228.1.187 dsuspw90 # COP 4000 6 way
O1 - Hosts: 167.228.1.190 dsuspwd0 # SAP 4.6 Integration testing
O1 - Hosts: 167.228.1.191 asbwpwd0 # Global BW app server
O1 - Hosts: 167.228.1.192 asbwpwe0 # Global BW app server
O1 - Hosts: 167.228.144.205 asuspww0 # desktop Wally's machine
O1 - Hosts: 167.228.2.93 greene_a # laptop
O1 - Hosts: 167.228.2.58 asuspwr0 nieradka # desktop
O1 - Hosts: 167.228.2.79 psuspwp0 fjob # desktop F. O'Brien's
O1 - Hosts: 167.228.2.91 beowulf # eagjr NT
O1 - Hosts: 167.228.2.99 weekes_d # Deighton's NT laptop
O1 - Hosts: 167.228.2.101 psuspw10 jsuspw10 # nitin ws/old java server
O1 - Hosts: 167.228.2.102 jsuspw10 netraj1 homerun # netra-j server arthur
O1 - Hosts: 167.228.2.108 pwuspw03 modicant # James Modica NT laptop
O1 - Hosts: 167.228.2.111 psuspwa0 # desktop Deighton
O1 - Hosts: 167.228.2.113 psuspwc0 # desktop George
O1 - Hosts: 167.228.2.116 psuspwj0 # desktop
O1 - Hosts: 167.228.2.117 psuspws0 # desktop
O1 - Hosts: 167.228.2.118 psuspwt0 # desktop
O1 - Hosts: 167.228.2.123 psuspwu0 Archie # desktop
O1 - Hosts: 167.228.2.124 rogisun psuspwv0 # desktop
O1 - Hosts: 167.228.2.126 jauspw30 javaws2 # java ws 2
O1 - Hosts: 167.228.2.130 automond # desktop
O1 - Hosts: 167.228.2.134 psuspww0 # desktop
O1 - Hosts: 167.228.2.140 psuspwm0 modicadt # desktop Modica
O1 - Hosts: 167.228.2.141 psuspwn0 # desktop Gabe
O1 - Hosts: 167.228.2.142 furai_g # PC Gabe
O1 - Hosts: 167.228.2.143 psuspwd0 Andre # desktop Andre
O1 - Hosts: 167.228.2.144 psuspwe0 # desktop Prod Control Area
O1 - Hosts: 167.228.2.145 psuspwf0 # desktop Brian Klein
O1 - Hosts: 167.228.2.146 psuspwg0 # desktop Prod Control Area
O1 - Hosts: 167.228.2.148 liud # PC Temp for Donna Liu
O1 - Hosts: 167.228.2.149 schiles # PC Temp for Steve Schile
O1 - Hosts: 167.228.2.150 zulianim # PC Maria Zuliani
O1 - Hosts: 167.228.2.163 pwuspw05 # Brian NT Workstation
O1 - Hosts: 167.228.2.200 coronasv # loaner Ultra-60
O1 - Hosts: 167.228.1.41 dcdns1
O1 - Hosts: 167.228.1.42 dcdns2
O1 - Hosts: 192.132.225.18 dcdns3
O1 - Hosts: 167.228.1.87 awuspw70 # Nielson BWT
O1 - Hosts: 167.228.1.97 dwuspw10 # APO Dev server
O1 - Hosts: 167.228.1.154 awuspwb0 # Europricing server/documentum
O1 - Hosts: 167.228.1.159 dwuspw20 lnusabu1 # NT Bur sales orders
O1 - Hosts: 167.228.1.181 dwuspw40 # NT Sandbox
O1 - Hosts: 167.228.1.182 awuspw80 # TAM Admin station NAD
O1 - Hosts: 167.228.1.183 awuspw90 # TAM Admin station NAT
O1 - Hosts: 167.228.2.84 awuspw10 # Primary Domain Controller
O1 - Hosts: 167.228.2.109 awuspw30 # MDI gateway & Nielson BWD
O1 - Hosts: 167.228.2.112 dwuspw60 # APO PRD Livecache server
O1 - Hosts: 167.228.2.119 lnusalt1 # Laptop Lotus Notes mail server
O1 - Hosts: 167.228.2.125 awuspw60 # APO PRD NPP App server
O1 - Hosts: 167.228.2.136 awuspwa0 # TAM Workbench devel
O1 - Hosts: 167.228.2.155 awuspw40 # InfoDB
O1 - Hosts: 167.228.2.172 awuspw50 # Nielsen BWP
O1 - Hosts: 167.228.2.252 dwuspw80 # APO PRD CI and DB server
O1 - Hosts: 192.132.225.20 lnusaisd # smi server nt (in dmz)
O1 - Hosts: 167.228.2.61 LNUSANY1 # NY-PK Lotus Notes mail server
O1 - Hosts: 167.228.2.100 LNUSANAD # Main WEB Server
O1 - Hosts: 167.228.2.100 cp-online # Main WEB Server
O1 - Hosts: 167.228.2.70 ourcolgate # Main WEB Server
O1 - Hosts: 167.228.2.70 ourcolgate.com # Main WEB Server
O1 - Hosts: 167.228.2.147 dwusjf20 # NPS Sandbox APO 2.0A
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Video On-line - {323301C5-CB6B-490C-B59F-E7FAD4D69C93} - C:\WINNT\system32\PowerVideo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINNT\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINNT\System32\fast.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://mysap.esc.win.colpal.com
O15 - Trusted Zone: http://*.ourcolgate
O15 - Trusted Zone: http://*.ourcolgate.com
O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)
O15 - Trusted Zone: http://*.ourcolgate (HKLM)
O15 - Trusted Zone: http://*.ourcolgate.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/us/win/QuickTimeInstaller.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: Domain = win.colpal.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: Domain = win.colpal.com
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
A voir également:

17 réponses

Réponse 1 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 nov. 2007 à 22:34
Bonsoir ECHO993

Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours télécharger avant l'utilisation pour profiter des dernières mises à jour.

Utilisation:

1- Recherche:

Clic sur le lien ci-dessus, puis [exécuter]; ensuite une seconde fois sur "Exécuter" -patienter- ( à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1(taper 1) et pressez [Entrée] dans le menu (pour créer un rapport des fichiers responsables de l'infection.)
Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre.
Renomme-le « Rapport1.txt », c’est très important pour la suite.
Le rapport se trouve à la racine du disque système C:\rapport1.txt


Nous ferons le nettoyage ensuite

Merci
Al.
0
Réponse 2 / 17
ECHO993
26 nov. 2007 à 22:54
Voila, je t'envoi ce que tu m'as demander!

SmitFraudFix v2.255

Scan done at 16:52:25,47, 2007-11-26
Run from C:\Documents and Settings\Simon\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\tp4serv.exe
C:\Program Files\NavNT\defwatch.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
C:\WINNT\System32\Fast.exe
C:\WINNT\System32\taskswitch.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\AGRSMMSG.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINNT\system32\MsgSys.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

C:\WINNT\system32\PowerVideo.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SIMON\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection
DNS Server Search Order: 150.7.10.1

Description: Intel(R) PRO/100 VE Network Connection
DNS Server Search Order: 205.151.69.200
DNS Server Search Order: 205.151.68.200

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CCS\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: DhcpNameServer=150.7.10.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: DhcpNameServer=150.7.10.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS3\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: DhcpNameServer=150.7.10.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
0
Réponse 3 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 nov. 2007 à 23:15
Re

Merci
Fais ceci maintenant:

Nettoyage:

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur > et pendant la page bios (noire et blanche) avant le logo Windows, tapote à répétition sur la touche F8 > un menu va apparaître > avec le bloc des flèches sur clavier, choisis "Mode sans échec" et appuie sur la touche [Entrée] du clavier. ==> comme ceci : http://www.coupdepoucepc.com/modules/news/article.php?storyid=253
Sois patient, et ne sois pas étonné de l'aspect de l'écran.

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne clique sur aucun autre fichier!!!)
==> suivre instructions de la page bleue qui vient de s’ouvrir
•- Sélectionner 2 et pressez [Entrée] dans le menu pour supprimer les fichiers responsables de l'infection.

•- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le fix déterminera si le fichier wininet.dll est infecté.
•- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Arrête, puis Redémarre en mode normal

Le rapport se trouve à la racine du disque système C:\<gras>rapport.txt ; tu le postes pour contrôle --


Merci
Al

Patience-Vigilance-Amour.
0
Réponse 4 / 17
ECHO993
26 nov. 2007 à 23:46
A première vue, ca fonctionne, MERCI!! Mais je t'envoi quand même le rapport du programme.

SmitFraudFix v2.255

Rapport fait à 17:41:13,45, 2007-11-26
Executé à partir de C:\Documents and Settings\Simon\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 loopback localhost # loopback (lo0) name/address
100.10.10.2 pcslip
167.228.1.102 aauspwya ctla
167.228.1.125 aauspwy0 ctl # SP2 control workstation
167.228.1.126 aauspwz0 alt # SP2 alt control station ethernet
167.228.1.177 dauspwy1 tc590 # Payroll test/dev env
167.228.1.105 dsuspw80 # Europe db server 4000 8 way
167.228.1.145 dsuspwl0 # SUN US CPPROD
167.228.43.106 dsusjf40 # BUS
167.228.1.112 asuspwb0 # desktop Joe S
167.228.1.114 asuspwz0 sunalt # sun ultra 1
167.228.1.115 fleissu1 # desktop
167.228.1.116 asuspwj0 # desktop Tom Brown
167.228.1.117 asuspws0 # desktop
167.228.1.118 asuspwt0 # desktop
167.228.1.121 dsuspwi0 # 3000 for Lightning
167.228.1.122 asuspw50 # US app server
167.228.1.127 asuspwe0 # Europe ETS server
167.228.1.128 dsuspwf0 # Europe backup db server
167.228.1.130 drec10 # Disaster Recovery Test System
167.228.1.131 dsuspwb0 # BW Prod Testing
167.228.43.182 dausjfc0 # New BUS Server
167.228.14.62 dauspwa0 # New Prod Server
167.228.1.132 dsuspwc0 # BW Backup DB server
167.228.1.133 asuspwh0 # Europe app server
167.228.1.134 drec00 # Disaster Recovery Test System
167.228.1.136 dsuspwn0 # GIT PRD server
167.228.1.138 dsuspwr0 # COP database server
167.228.43.52 dsuspwj0 # US BW Test/Dev server
167.228.1.140 u2a5000 # Ultra 2 A-5000 test box
167.228.1.141 dsuspw30 # TPS Sun 3-way
167.228.1.142 asuspwrb # Reel backup server
167.228.1.144 dsuspw00 # Europe Production 6000
167.228.1.145 dsuspw10 sun12way # US PRD backup db server 6000
167.228.1.146 dsuspw20 sun20way cp20 # US PRD server 6000
167.228.1.147 asuspw30 sun6way # US app server 6-way
167.228.1.148 asuspw40 sun6way1 # US app server 6-way
167.228.1.149 asuspwy0 sunctl # sun sparc5
167.228.1.150 asuspwx0 # desktop
167.228.1.179 dsuspwm0 # metaphor box
167.228.1.185 gabetest # COT/COD 3000 4 way
167.228.1.187 dsuspw90 # COP 4000 6 way
167.228.1.190 dsuspwd0 # SAP 4.6 Integration testing
167.228.1.191 asbwpwd0 # Global BW app server
167.228.1.192 asbwpwe0 # Global BW app server
167.228.144.205 asuspww0 # desktop Wally's machine
167.228.2.93 greene_a # laptop
167.228.2.58 asuspwr0 nieradka # desktop
167.228.2.79 psuspwp0 fjob # desktop F. O'Brien's
167.228.2.91 beowulf # eagjr NT
167.228.2.99 weekes_d # Deighton's NT laptop
167.228.2.101 psuspw10 jsuspw10 # nitin ws/old java server
167.228.2.102 jsuspw10 netraj1 homerun # netra-j server arthur
167.228.2.108 pwuspw03 modicant # James Modica NT laptop
167.228.2.111 psuspwa0 # desktop Deighton
167.228.2.113 psuspwc0 # desktop George
167.228.2.116 psuspwj0 # desktop
167.228.2.117 psuspws0 # desktop
167.228.2.118 psuspwt0 # desktop
167.228.2.123 psuspwu0 Archie # desktop
167.228.2.124 rogisun psuspwv0 # desktop
167.228.2.126 jauspw30 javaws2 # java ws 2
167.228.2.130 automond # desktop
167.228.2.134 psuspww0 # desktop
167.228.2.140 psuspwm0 modicadt # desktop Modica
167.228.2.141 psuspwn0 # desktop Gabe
167.228.2.142 furai_g # PC Gabe
167.228.2.143 psuspwd0 Andre # desktop Andre
167.228.2.144 psuspwe0 # desktop Prod Control Area
167.228.2.145 psuspwf0 # desktop Brian Klein
192.168.128.1 psuspwf0-128 # corona station
167.228.2.146 psuspwg0 # desktop Prod Control Area
167.228.2.148 liud # PC Temp for Donna Liu
167.228.2.149 schiles # PC Temp for Steve Schile
167.228.2.150 zulianim # PC Maria Zuliani
167.228.2.163 pwuspw05 # Brian NT Workstation
167.228.2.200 coronasv # loaner Ultra-60
167.228.1.41 dcdns1
167.228.1.42 dcdns2
192.132.225.18 dcdns3
167.228.1.87 awuspw70 # Nielson BWT
167.228.1.97 dwuspw10 # APO Dev server
167.228.1.154 awuspwb0 # Europricing server/documentum
167.228.1.159 dwuspw20 lnusabu1 # NT Bur sales orders
167.228.1.181 dwuspw40 # NT Sandbox
167.228.1.182 awuspw80 # TAM Admin station NAD
167.228.1.183 awuspw90 # TAM Admin station NAT
167.228.2.84 awuspw10 # Primary Domain Controller
167.228.2.109 awuspw30 # MDI gateway & Nielson BWD
167.228.2.112 dwuspw60 # APO PRD Livecache server
167.228.2.119 lnusalt1 # Laptop Lotus Notes mail server
167.228.2.125 awuspw60 # APO PRD NPP App server
167.228.2.136 awuspwa0 # TAM Workbench devel
167.228.2.155 awuspw40 # InfoDB
167.228.2.172 awuspw50 # Nielsen BWP
167.228.2.252 dwuspw80 # APO PRD CI and DB server
192.132.225.20 lnusaisd # smi server nt (in dmz)
167.228.2.61 LNUSANY1 # NY-PK Lotus Notes mail server
167.228.2.100 LNUSANAD # Main WEB Server
167.228.2.100 cp-online # Main WEB Server
167.228.2.70 ourcolgate # Main WEB Server
167.228.2.70 ourcolgate.com # Main WEB Server
167.228.2.147 dwusjf20 # NPS Sandbox APO 2.0A
199.1.2.180 dauspwz2 # payroll FDDI dauspwy2
199.1.2.226 dauspwz1 # tc590 fddi
199.1.5.34 dauspwz3 # mennen fddi
199.1.5.84 dauspwz9 # corp FDDI dauspwy2
199.1.1.106 dsuspwl1 # laptop FEN
199.1.2.113 dsusasi1 # Temporary
199.1.2.114 asuspwz1 # Sun 6-way fddi
199.1.2.122 asuspw51 # US app server
199.1.5.136 dsuspwn1 # GIT/Sun FDDI
199.1.1.141 dsuspw31 # TPS Sun 3-way fddi
199.1.1.52 dsappwf1 # Asia FEN
199.1.1.143 dsafpwu1 # Sun FEN
199.1.4.145 dsuspw14 # Sun 12-way fddi-4
199.1.4.146 dsuspw24 # Sun 20-way fddi-4
199.1.4.147 asuspw34 # Sun 6-way fddi
199.1.4.148 asuspw44 # Sun 6-way fddi
199.1.5.52 dsuspwz5 # SA FDDI
199.1.5.121 dsuspwi1 # Lightning FDDI
199.1.5.127 asuspwe1 # Sun Corp fddi
199.1.5.179 dsuspwm1 # Metaphor fddi
199.1.1.187 dsuspw91 # COP FEN
167.228.44.141 dsuspw60
199.1.21.141 dsuspw61
164.120.143.2 ibmmail.com imxgate # ibm e-mail router for cp-europe edi
167.228.1.80 sapcomm
194.32.223.52 ibmfrance ibmedi # edi van for cp euriope
201.33.45.22 ibmrout1 # ibmfrance router1
201.33.45.21 ibmrout2 # ibmfrance router2
201.33.45.31 ibmrout3 # ibmfrance router3
201.33.45.32 ibmrout4 # ibmfrance router4
194.39.128.1 sapframe # saps frame relay router
194.39.128.109 sapframecolgate # colgate's frame relay to sap
194.39.129.1 sapx # saps x.25 machine
194.39.129.43 aauspwzx X25 # Local X.25 address
155.56.1.33 q30 # saps 3.0 system
204.79.199.2 sapserv4 # saps oss server
167.228.1.34 mennen pemex
167.228.1.51 phuspw01 phustc01 # hplj5si @ JG21 Shift Tech Area
167.228.1.56 phantom
167.228.2.57 fleiss fleisspw
167.228.1.65 fleisspc # arthurs thinkpafd
167.228.2.77 katasakpc
167.228.2.78 spitaleri joespc spitpc
167.228.1.81 fleissrisc fleissws # arthur powerpc
167.228.1.84 unix1
167.228.2.89 homeyer
167.228.1.90 autoops
167.228.1.91 python
167.228.1.93 dauspwy5 dbrsusapw5 costa
167.228.2.161 rogi
167.228.2.165 jjn
167.228.2.95 mccann
167.228.1.103 phustc04 # hplj4si @ JG31
167.228.1.104 phustc10 # hplj5m ( Color ) @ JG01
167.228.1.155 phuspw03 phustc03 # Commgrp HPLJ 1200C
167.228.1.165 phustc07
167.228.1.170 consultant bluehen bell_s # rs6000 in JG20
167.228.1.175 phuspw02 phustc02 # Commgrp HPLJV - JG
167.228.1.180 dauspwy2 payroll # Payroll
167.228.2.196 archie
167.228.1.198 pxuspw10 # Test Epson printer Archie's
167.228.1.197 USACIS usacis #Corp metaphor
167.228.2.199 tech3 # tech PC's
167.228.2.201 tech2 # tech PC's
167.228.2.202 tech1 # tech PC's
167.228.2.206 tech5 # tech PC's
167.228.2.207 suptech # tech PC's
167.228.2.99 weekespc
167.228.144.77 talaris talarisj1 # J1 Talaris Printer
167.228.144.79 phuspw04 # Tech/Library A Wing (Talaris printer)
167.228.144.112 phuspw18 # HR Corporate
167.228.144.115 phuspw06 # L176 Printer
167.228.144.116 phuspw05 # DG15 Printer
167.228.144.118 phuspw07 # TC07 - TC - BG Finance
167.228.144.119 phuspw08 # Jim Capraro's Printer
167.228.144.124 phuspw09 # TC - HR
167.228.144.133 phuspw10 # Receiving printer
167.228.144.135 phuspw11 # Warehouse, by Mayor Lapinski
167.228.144.136 phuspw12 # PTC office - K1E06G
167.228.144.138 phuspw13 # Purchasing printer - BSG64
167.228.144.139 phuspw15 # PTC Technicians Printer K1W11
167.228.144.137 phuspw14 # Material Management - BGS82
167.228.144.142 phuspw16 # L206B HSC
167.228.144.101 phuspw17 # Rich Polanski
167.228.144.81 pxuspw19 # Talarisl2 Barbara Dunn
167.228.144.152 phuspw20 # LG08, SAP printer
167.228.144.117 phuspw21 # PIM Department
167.228.76.131 phuspw22 # Somerset Consumer Packaging Facility
167.228.144.150 phuspw23 # Paul Templeton
40.1.1.178 pxuspw24 # Markson Rosenthal
167.228.151.31 pxuspw25 # A-Wing Lexmark Optra S 2455
167.228.144.232 gonzalo
167.228.144.236 cptech # cptech for netscape
167.228.144.250 cptech2 # cptech for netscape
167.228.144.221 cptech3 # cptech for netscape
167.228.144.219 cptech4 # cptech for netscape
167.228.144.214 cptech5 # cptech for netscape
167.228.144.213 cptech6 # cptech for netscape
167.228.144.207 cptech9 cptech9.win.colpal.com # cptech for netscape
167.228.144.206 cptech10 # cptech for netscape
167.228.145.210 spitaleri1
167.228.144.203 dp6000a # Visual Flow Pim Interface
192.168.2.33 phusco01 # General Warehouse, New Concord Ohio
167.228.99.212 phuspi01 # Pioneer Warehouse, Whippany NJ
167.228.99.211 phusat02 # Artic Warehouse, Hilliard Ohio
144.1.1.7 ulschi # GATX company chicago
192.7.1.24 trapper traper # the trapper company
198.151.185.5 geftp # GE Company ftp server
192.168.12.1 dsc-e1 #Dry Storage EDI AS400
200.100.10.20 pxusho01 # IPD - Hodgkins IL
200.100.11.20 pxusca01 # Canberra OH Main Office Epson
167.228.99.213 phusro01 # Kleenbrite, Rochester NY
167.228.99.214 phusdo01 # Simon Trucking
167.228.99.215 pxusca02 # Markson Rosenthal Co.
40.1.1.27 phusmr03 # Markson Rosenthal Co. Piscataway NJ
167.228.99.217 phusco03 # Arctic Express, Columbus OH
167.228.99.228 phuspm01 # National Freight, Palmetto GA (SAPLPD Printer)
167.228.99.224 phussa01 # May Trucking, Salem OR (SAPLPD Printer)
167.228.79.102 phusnb01 # netblazer - CIRCLE FREIGHT
200.100.1.10 phusnb02 # netblazer - Promotional Packaging
167.228.79.101 phusnb99 # netblazer test printer (NB99)
200.100.1.3 pxusbp01 # PROMO_KY
200.100.3.3 pxusbp02 # HUISH_KY
200.100.9.3 pxusbp03 # ANCHOR_TN
200.100.5.3 pxusbp04 # GENERAL_OH
200.100.5.4 pxusbp05 # GENERAL_OH
200.100.4.3 pxusbp06 # DSC_NJ
200.100.4.4 pxusbp07 # DSC_NJ
200.100.6.3 pxusbp08 # CHES_NJ
200.100.8.3 pxusbp09 # WILHELM_OR
200.100.8.4 pxusbp10 # WILHELM_OR
192.168.2.34 phusbp11 # GENERAL WAREHOUSE
200.100.7.20 pxusbp12 # DISPLAY AMERICA
200.100.2.20 pxusbp13 # HUISH, SALT LAKE CITY UTAH Prt1
200.100.2.25 pxusbp14 # HUISH, SALT LAKE CITY UTAH Prt2
200.100.8.5 pxusbp15 # WILHELM_OR
200.100.1.59 pxusbp16 # PACKAGING UNLIMITED
167.228.130.92 glushevskyypc
167.228.131.32 commlab # pk comm lab
167.228.131.106 alexspc
167.228.131.148 meanynpc
167.228.133.49 angelapc
167.228.134.14 taylorvpc
167.228.1.82 origrouten # Cicso router to Origin
167.228.1.178 ip3745 # 3745 e-net on DC
199.1.11.1 iplink3 mainframe3 # mainframe via DC backbone
199.1.100.10 iplink1 mainframe mainframe4 mainframeo # Origins mainframe address
199.1.2.151 origrout # Cicso router to Origin
138.108.213.10 mainframe-nielsen # nielsons mainframe
167.228.1.173 lnusapw1
167.228.160.21 lnusatp3
167.228.2.153 lnusana2
167.228.144.186 lnusatc1
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CCS\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: DhcpNameServer=150.7.10.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: DhcpNameServer=150.7.10.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS3\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: DhcpNameServer=150.7.10.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
27 nov. 2007 à 00:08
Re,

C'est bon cela
Il faut TOUJOURS poster les rapports. ;)

A)- Fais ceci s'il te plaît :

1)- •- Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

2)- Télécharge SDFix sur ton bureau
: < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe >
Ne fonctionne qu'en mode sans échec!

3)- Redémarre en mode sans échec.
(Note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure).
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).

4)- Installation et Mise à jour de SDFix :
•- Double clique sur l'icône SDFix.exe > [Exécuter] > Destination folder = C:\ > [Install] Ouvre le dossier « SDFix », qui vient d'être créé dans le répertoire C:\ > (créer un raccourci sur le bureau)
( Ou bien : Clic-droit sur l'icône SDFix.exe > "extraire ici" )
> ouvrir le (raccourci) dossier "SDFix" apparu sur le bureau > double-clic sur "RunThis.cmd" de SDFix > Ensuite tape U = “download latest version of sdfix”, laisser faire, puis Clic sur une touche, et encore « Press any key to close SDFix & Extract latest version » .

5) Analyses
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.

•- Ouvre le dossier "SDFix" sur le bureau
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer en mode normal
Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

6) Rapports:
- Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
- Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt" ( qui est également sur le bureau ) et poste-le sur le forum.


B) – Questions:
1°- O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe ==> pourquoi as-tu besoin de [dla] ?

2°- Connais-tu ce O15 - Trusted Zone: http://mysap.esc.win.colpal.com
qui est en site de confiance sur ton PC ?

3°- Si NON, tu fixes toutes ces O15 avec HJT.
O15 - Trusted Zone: http://mysap.esc.win.colpal.com
O15 - Trusted Zone: [http://]*.ourcolgate
O15 - Trusted Zone: [http://]*.ourcolgate.com
O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)
O15 - Trusted Zone: [http://]*.ourcolgate (HKLM)
O15 - Trusted Zone: [http://]*.ourcolgate.com (HKLM)
Y compris la O4 ci-dessus.


C)- Poste un nouveau rapport HijackThis

D)- Termine par scan kaspersky < https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >

Clic sur l'image Kaspersky Online Scanner
Clic sur "J'accepte"
Installe le ActiveX
Tu attends que la mise à jour se termine,
Une fois terminé, clic sur "Suivant"
Clic sur "Paramètres d'analyse "
Coche la case "Étendue" > [Ok]
Clic sur "Poste de travail" pour faire un "scan complet "
Une fois le scan fini à 100%, clic sur « Enregistrer rapport sous... »
Enregistrer le rapport au format .txt (en nom tu mets rapport ou
ce que tu veux et en type tu choisis fichier texte (*.txt)
Tu ouvres le fichier que tu viens de sauvegarder, copie et colle sur le forum.



Merci
Je passe au lit
Al


0
Réponse 6 / 17
ECHO993
27 nov. 2007 à 01:33
J'ai un problème, Kaspersky ne marche pas, il arrete a 92% et ne bouge plus... Mais ca ne gèle pas...

Premier rapport = Clean

Script executed in Safe Mode
Rapport clean par Malekal_morte - http://www.malekal.com
Script executed in Safe Mode 2007-11-26 a 18:29:20,79

Microsoft Windows XP [Version 5.1.2600]

*** Suppression C:

*** Suppression C:\WINNT\

*** Suppression C:\WINNT\system32

*** Suppression C:\Program Files

*** Deletion of the registry keys successful..
*** End of the report !


Rapport SDFix


SDFix: Version 1.115

Run by Simon on 2007-11-26 at 18:49

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINNT
No streams found.

C:\WINNT\system32
No streams found.

C:\WINNT\system32\svchost.exe
No streams found.

C:\WINNT\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-26 18:56:22
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files:
---------------


Files with Hidden Attributes:

Wed 3 May 2006 163,328 ..SHR --- "C:\WINNT\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINNT\system32\msfDX.dll"
Tue 6 Nov 2007 72,704 ..SHR --- "C:\Program Files\eRightSoft\SUPER\Setup.exe"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygz.dll"
Thu 26 Oct 2006 15,872 A.SHR --- "C:\Program Files\eRightSoft\SUPER\_Setup.dll"
Sun 4 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll"
Mon 9 Dec 2002 73,766 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll"
Mon 9 Dec 2002 65,575 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll"
Mon 9 Dec 2002 102,437 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll"
Mon 9 Dec 2002 176,165 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll"
Mon 9 Dec 2002 208,935 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll"
Mon 9 Dec 2002 217,127 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sat 3 Nov 2001 225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rnco3260.dll"
Mon 9 Dec 2002 245,805 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Mon 9 Dec 2002 45,093 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv103260.dll"
Mon 9 Dec 2002 98,341 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv203260.dll"
Mon 9 Dec 2002 94,247 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv303260.dll"
Mon 9 Dec 2002 90,151 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv403260.dll"
Mon 9 Dec 2002 102,439 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\tokr3260.dll"

Finished!
0
Réponse 7 / 17
ECHO993
27 nov. 2007 à 03:50
Étrange, Kaspersky termine tout le petit test et m'inscrit terminé mais je ne peux pas acceder au rapport...
0
Réponse 8 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
27 nov. 2007 à 10:59
Bonjour

A))- Qu'en est-il de ceci, qu'il fallait faire avant de lancer ScanOnlineKaspersky :

«
B) – Questions:
1°- O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe ==> pourquoi as-tu besoin de [dla] ?
2°- Connais-tu ce O15 - Trusted Zone: http://mysap.esc.win.colpal.com
qui est en site de confiance sur ton PC ?
3°- Si NON, tu fixes toutes ces O15 avec HJT.
O15 - Trusted Zone: http://mysap.esc.win.colpal.com
O15 - Trusted Zone: [http://]*.ourcolgate
O15 - Trusted Zone: [http://]*.ourcolgate.com
O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)
O15 - Trusted Zone: [http://]*.ourcolgate (HKLM)
O15 - Trusted Zone: [http://]*.ourcolgate.com (HKLM)
Y compris la O4 ci-dessus.
C)- Poste un nouveau rapport HijackThis » ??


B))- Pour Kaspersky, avais-tu bien fait comme ceci :

« Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >

Clic sur « J'accepte » ( ou I agree )

On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )

Tu attends que la mise à jour se termine ( patienter ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur "Poste de travail" pour faire un scan complet ( si tu as un disque amovible/externe, branche-le )

Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..." ==> choisis le bureau pour le retrouver facilement.
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder sur le bureau.
Copier/coller le rapport généré, et poste-le

AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure-toi que les contrôles active x sont bien configurés dans les options internet comme il est décrit sur ce lien=> http://www.inoculer.com/activex.php3 »


Si ça ne va toujours pas, nous ferons autrement.

Al.

0
Réponse 9 / 17
ECHO993
27 nov. 2007 à 13:43
Je suis en train de faire le scan et pour répondre a tes questions, comme j'ai un ordinateur de compagnie, je dois les concerver...Merci de t'en soucier :D
0
Réponse 10 / 17
ECHO993
27 nov. 2007 à 22:20
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, November 27, 2007 4:17:21 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 27/11/2007
Enregistrements dans la base antivirus Kaspersky : 466389


Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
F:\

Statistiques de l'analyse
Total d'objets analysés 50843
Nombre de virus trouvés 2
Nombre d'objets infectés 12 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:08:14

Nom de l'objet infecté Nom du virus Dernière action
C:\WINNT\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINNT\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\SAM L'objet est verrouillé ignoré

C:\WINNT\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINNT\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINNT\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINNT\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINNT\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINNT\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINNT\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINNT\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINNT\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINNT\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINNT\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINNT\CSC\00000001 L'objet est verrouillé ignoré

C:\WINNT\WindowsUpdate.log L'objet est verrouillé ignoré

C:\WINNT\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Temp\~DF374B.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Temp\~DF372A.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\History\History.IE5\MSHist012007112720071128\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Local Settings\Application Data\Microsoft\Windows Live Contacts\simon_raiche_993@hotmail.com\real\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Desktop\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\Simon\Desktop\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\Simon\Desktop\SmitfraudFix.exe RarSFX: infecté - 2 ignoré

C:\Documents and Settings\Simon\Desktop\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\Simon\Desktop\clean.zip/clean/pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

C:\Documents and Settings\Simon\Desktop\clean.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\Simon\Desktop\clean\pskill.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.k ignoré

C:\Documents and Settings\Simon\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré

C:\Documents and Settings\Simon\UserData\index.dat L'objet est verrouillé ignoré

C:\System Volume Information\_restore{74C50732-715D-4AA2-BCAC-AB3668F126C7}\RP62\A0009395.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\System Volume Information\_restore{74C50732-715D-4AA2-BCAC-AB3668F126C7}\RP64\change.log L'objet est verrouillé ignoré

D:\Data\INSTALLATION\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

D:\Data\INSTALLATION\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

D:\Data\INSTALLATION\SmitfraudFix.exe RarSFX: infecté - 2 ignoré

D:\Data\INSTALLATION\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

D:\System Volume Information\_restore{74C50732-715D-4AA2-BCAC-AB3668F126C7}\RP64\change.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 11 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
27 nov. 2007 à 22:49
Bonsoir

Le rapport Kaspersky est excellent.

Poste un nouveau rapport HijackThis pour vérifier si SDfix a bien restaurer ton Fichier HOSTS.

Et vas voir là C:\WINDOWS\system32\drivers\etc > ouvre le dossier etc , et poste-moi ce qui est dans le fichier hosts (1Ko).

Merci
Al.
0
Réponse 12 / 17
ECHO993
27 nov. 2007 à 23:35
Fichier Windows

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost


Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:42, on 2007-11-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\Fast.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
C:\WINNT\System32\taskswitch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\AGRSMMSG.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = webcache:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ourcolgate;mysap.esc.win.colpal.com;*.esc.win.colpal.com;*.win.colpal.com;ourcolgate*;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Video On-line - {323301C5-CB6B-490C-B59F-E7FAD4D69C93} - C:\WINNT\system32\PowerVideo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINNT\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINNT\System32\fast.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://mysap.esc.win.colpal.com
O15 - Trusted Zone: http://*.ourcolgate
O15 - Trusted Zone: http://*.ourcolgate.com
O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)
O15 - Trusted Zone: http://*.ourcolgate (HKLM)
O15 - Trusted Zone: http://*.ourcolgate.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/us/win/QuickTimeInstaller.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: Domain = win.colpal.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: Domain = win.colpal.com
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
0
Réponse 13 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
28 nov. 2007 à 01:02
Bonsoir ECHO993

Pour le fichier HOSTS, il est réparé.
Il a donc été "visité"; c'est gênant.

Je n'aurai pas le temps de faire grand-chose demain.
Tu me dis que c'est un PC "partagé".
Mais il faudra bien prendre une décision
Parce que dans une rapide analyse, je vois ceci:

Aucun pare-feu actif ==> il faut tout de même savoir que le Firewall de Windows ne protège pas les flux sortants du PC; et que donc, les trojans ont portes ouvertes .

C:\WINNT\system32\MsgSys.EXE …………devrait sans doute être là .. c:\windows\system\ ==> INTROUVABLE (connais-tu?)

C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe……… ==> TpHotKey U TPHKMGR.EXE Activates "ThinkPad Help" when the "Thinkpad key" is pressed on an IBM ThinkPad laptop. Also activates the audio buttons (volume up/down, mute) on models such as the Thinkpad T30

•_ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ourcolgate;mysap.esc.win.colpal.com;*.esc.win.colpal.com;*.win.colpal.com;ourcol gate*;< local>
==> DANGER !!

•_ O2 - BHO: Video On-line - {323301C5-CB6B-490C-B59F-E7FAD4D69C93} - C:\WINNT\system32\PowerVideo.dll (file missing) ==> Video On-line {323301C5-CB6B-490C-B59F-E7FAD4D69C93} X BHO PowerVideo.dll Downloader trojan, member of the FakeAlert aka SmitFraud malware family - produces IEDefender popups - also see
==> GROS DANGER!!

•_ O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) ==> SUPERFLU !

•_ O15 - Trusted Zone: http://mysap.esc.win.colpal.com ..................DANGER!
•_ O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)..........DANGER!


•_ O17 - HKLM\System\CCS\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: Domain = win.colpal.com
•_ O17 - HKLM\System\CCS\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: Domain = win.colpal.com
==> 84.236.80.167 1.1 dorog_cp_proxy:3128 (squid/2.5.STABLE10), 1.0 lxhubu01.ea.win.colpal.com:3128 (squid/2.5.STABL
==> connaissez-vous cet IP 84.236.80.167 ?? Information related to '84.236.0.0 - 84.236.127.255'
inetnum: 84.236.0.0 - 84.236.127.255
netname: HU-TVNETWORK-20040618
descr: PROVIDER Local Registry
descr: Tvnetwork Inc.
country: HUNGARY


En attendant de consulter ton entourage (pour les O17 et la R1), il faudrait faire ceci SVP:


1°- Relance HijackThis, clic sur Do a system Scan only », sur la page qui s'affiche ( laisse-lui le temps de tout scanner ) . Ensuite coche la case devant ces lignes:

• O2 - BHO: Video On-line - {323301C5-CB6B-490C-B59F-E7FAD4D69C93} - C:\WINNT\system32\PowerVideo.dll (file missing)
• O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
• O15 - Trusted Zone: http://mysap.esc.win.colpal.com
• O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)

Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] (fixer =corriger)



2°- Télécharge DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Installe le.
==> branche les USB et Disque dur externes s'il y en a.
Ensuite clique sur http://images2.imagehotel.info/i4ovuv7ny9.gif « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png pour commencer le scan.

• Clique Ok à l'invite de l'analyse rapide.
Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre

• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"

• De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
• Clique sur la flèche verte sur la droite, et le scan débutera.
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".

• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés : http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif http://img230.imageshack.us/img230/8729/screenshot138yh4.png
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
• Ferme Dr.Web Cureit

• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.



3°- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Patienter ==> il y a ± 40 étapes.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum



4°- Télécharge lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.
Dézippe-le (clic droit >> Extraire ici)
et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.



Merci
Courage et bonne nuit
Al.
0
Réponse 14 / 17
ECHO993
28 nov. 2007 à 03:18
Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:42, on 2007-11-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\System32\Fast.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
C:\WINNT\System32\taskswitch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\AGRSMMSG.exe
C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = webcache:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ourcolgate;mysap.esc.win.colpal.com;*.esc.win.colpal.com;*.win.colpal.com;ourcolgate*;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Video On-line - {323301C5-CB6B-490C-B59F-E7FAD4D69C93} - C:\WINNT\system32\PowerVideo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TpHotkey] C:\PROGRA~1\ThinkPad\UTILIT~1\tphkmgr.exe
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINNT\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINNT\System32\fast.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINNT\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://mysap.esc.win.colpal.com
O15 - Trusted Zone: http://*.ourcolgate
O15 - Trusted Zone: http://*.ourcolgate.com
O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)
O15 - Trusted Zone: http://*.ourcolgate (HKLM)
O15 - Trusted Zone: http://*.ourcolgate.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/20010620/qtinstall.info.apple.com/qt502/us/win/QuickTimeInstaller.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5108997A-DFA2-4820-904D-32C95DCE9332}: Domain = win.colpal.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{96C81DF2-A08D-402F-B465-945B50D9E672}: Domain = win.colpal.com
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
0
Réponse 15 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
28 nov. 2007 à 22:09
Bonsoir ECHO993,

1°- Pourquoi ceci n'est-il pas exécuté ?

« Relance HijackThis, clic sur Do a system Scan only », sur la page qui s'affiche ( laisse-lui le temps de tout scanner ) . Ensuite coche la case devant ces lignes:
• O2 - BHO: Video On-line - {323301C5-CB6B-490C-B59F-E7FAD4D69C93} - C:\WINNT\system32\PowerVideo.dll (file missing)
• O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
• O15 - Trusted Zone: http://mysap.esc.win.colpal.com
• O15 - Trusted Zone: http://mysap.esc.win.colpal.com (HKLM)
Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked] (fixer =corriger) »


2°- Le rapport DrWeb fourni, n'est pas celui attendu.
Il se nommera DrWeb.csv ==> lance une recherche par l'explorateur Windows pour le trouver.


3°- Ton système de fichiers en FAT32 est une lacune pour l'analyse "catchme" de Combofix.
Pourquoi n'as-tu pas encore fait la convertion en NTFS ?
Quels sont tes arguments pour le garder ?
Convertir une partition en NTFS http://www.infoprat.net/astuces/windows2k_xp/astuces/disquedur_002.php à lire.


4°- Je ne vois ainsi pas grand-chose, à part cette petite bricole: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"PopupMgr"=- <== je supprimerais cette valeur.

5°- Connais-tu cette application C:\Documents and Settings\All Users\Application Data\Bait nurb roam real <== ?


Bonne continuation
Al
0
Réponse 16 / 17
ECHO993
29 nov. 2007 à 02:19
Pour le hijackthis, pourtant, j'ai tout fait ce que tu m'as demander

Contrairement au lien que tu m'as envoyer pour faire la conversion en NTFS, j'ai un ordinateur anglais, donc il me faudrait les informations en anglais pour faire cela.

Je voudrais savoir comment accéder au PopupMgr...

Et en dernier, non, je ne connais pas le '' Bait nurb roam real ''

Merci encore
Bye! Bonne Nuit
0
Réponse 17 / 17
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
29 nov. 2007 à 11:41
Re,

•- Pour fixer ces lignes en HJT, redémarre le PC en "Mode sans Échec" (touche F8 durant la phase de démarrage), et applique la procédure.

•- Pour DrWeb, manque le rapport.

•- Pour la conversion en NTFS, tu es sur un forum français (CCM) --> consulte un forum English, ou Google in english . Désolé.

•- Pour effacer la valeur PopupMgr, appuie sur [Démarrer] > "Exécuter" > coller " REGEDIT " et suivre l'arborescence HKEY_CURRENT_USER (HKCU) dans le panneau gauche de la page ouverte; jusqu'à atteindre la sous-clé Allow en activant le signe "+" selon ce chemin HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow.
À ce moment, clic sur ce petit dossier Allow pour l'ouvrir; et dans le panneau de droite, tu trouves la valeur dont le nom est PopupMgr ==> clic-droit/supprimer.
Quitter la base de registres.

•- Pour '' Bait nurb roam real '' on va le supprimer.


Fais ceci SVP :

Télécharge _OTMoveIt < [ http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe ] > sur le bureau.

1°-Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case "Désactiver la restauration du système" et cliquer sur [Appliquer].

2°- Double-cliquer sur OTMoveIt.exe (qui est sur le bureau)pour le lancer.
3°- Copier/coller la liste ci-dessous ( en une seule passe ) qui contient le chemin exact des éléments infectieux à supprimer … :

C:\Documents and Settings\All Users\Application Data\Bait nurb roam real
C:\WINNT\system32\PowerVideo.dll


… dans le cadre de gauche de _OTMoveIt: " Paste List of Files/Folders to be moved ".

Attention: (Le bouton ratio devant "Unregister Dll's and OCX's" doit être coché.)

-Clique sur MoveIt! pour lancer la suppression.
-Le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.
Si ce n'est pas le cas, redémarre quand même.
•- Poste le rapport qui se trouve en C:\_OTMoveIt\MovedFiles.

4°- Double-cliquer sur OTMoveIt.exe (qui est sur le bureau) pour le lancer à nouveau.

- Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet, Autorise-le.
- Une liste apparaît dans la partie gauche d' _OTMoveIt.
-- Un message apparaît pour confirmer le nettoyage. Confirme

•- Redémarre le PC

5°- •- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case "Désactiver la restauration du système" et cliquer sur [Appliquer].

6°- Poste un nouveau rapport HijackThis (HJT) SVP.




Bonne chance
Comment se comporte le PC ?
Al.
0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Nom d'une musique classique
panoramaaa -
Thierry -

9 réponses