Virus affectant la base de registre
Kevin
-
FillPCA Messages postés 2264 Statut Contributeur sécurité -
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour tout le monde,
je viens vous expliquer mon probleme.
Il y a environ 1 mois de cela je pense avoir attrapé un virus qui a désactivé l'accés au regedit et qui a modifié de nombreux attributs de windows comme l'affichage des extensions des fichiers..
Ensuite lorsque j'essaie par exemple de télécharger un fichier via firefox comme un .exe mon ordi reboot tout seul.
J'ai aussi des applications qui se rajoute toute seul dans le msconfig / démarrage sous le nom de "empty".
Lorsque je veux me rendre dans l'option des dossiers windows via outils / options des dossiers, je n'ai plus l'options des dossiers.
Bref beaucoup de petite chose bizard.
Du coup apres n'avoir trouvé aucune aide, j'ai formaté mon pc mais ça vient de recommencer il ya 2 jours..
Si quelqun peut m'éclairer, merci d'avance.
je viens vous expliquer mon probleme.
Il y a environ 1 mois de cela je pense avoir attrapé un virus qui a désactivé l'accés au regedit et qui a modifié de nombreux attributs de windows comme l'affichage des extensions des fichiers..
Ensuite lorsque j'essaie par exemple de télécharger un fichier via firefox comme un .exe mon ordi reboot tout seul.
J'ai aussi des applications qui se rajoute toute seul dans le msconfig / démarrage sous le nom de "empty".
Lorsque je veux me rendre dans l'option des dossiers windows via outils / options des dossiers, je n'ai plus l'options des dossiers.
Bref beaucoup de petite chose bizard.
Du coup apres n'avoir trouvé aucune aide, j'ai formaté mon pc mais ça vient de recommencer il ya 2 jours..
Si quelqun peut m'éclairer, merci d'avance.
A voir également:
- Virus affectant la base de registre
- Base de registre - Guide
- Virus mcafee - Accueil - Piratage
- Formules mathématiques de base - Télécharger - Études & Formations
- Formules excel de base - Guide
- Gigaset a170h problème base ✓ - Forum telephonie fixe
14 réponses
Salut,
Peux-tu éditer un rapport Hijackthis ?
https://forum.pcastuces.com/tutoriel_hijackthis_v_2002___tutoriel-f31s8.htm
FillPCA
Peux-tu éditer un rapport Hijackthis ?
https://forum.pcastuces.com/tutoriel_hijackthis_v_2002___tutoriel-f31s8.htm
FillPCA
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir tout le monde,
merci pour vos réponses.
FillPCA lorsque je me rend sur ton site mon PC reboot.
Je me suis aussi apperçu qu'il rebooté lors de l'ouverture d'une fenetre MSDOS
merci pour vos réponses.
FillPCA lorsque je me rend sur ton site mon PC reboot.
Je me suis aussi apperçu qu'il rebooté lors de l'ouverture d'une fenetre MSDOS
Salut,
Télécharge le logiciel HijackThis v 2.0.2
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Fais un scan et poste l'analyse.
FillPCA
Télécharge le logiciel HijackThis v 2.0.2
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Fais un scan et poste l'analyse.
FillPCA
mon pc reboot lors du téléchargement de l'exe.
J'ai voulu passer par un download manager mais je ne peux pas télécharger d'install d'un download manager non plus..
J'ai voulu passer par un download manager mais je ne peux pas télécharger d'install d'un download manager non plus..
Re,
* Télécharge PCA (d'Evosla) : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
* Dézippe-le dans un répertoire dédié comme c:\PCA au moyen d'un clic droit (Extraire...),
* Clique sur l'onglet "diagnostic du PC" puis "analyser".
* Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
* Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
* Edite le contenu de ce rapport dans ta prochaine réponse. Il se nomme PCA_LOG.txt
FillPCA
* Télécharge PCA (d'Evosla) : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
* Dézippe-le dans un répertoire dédié comme c:\PCA au moyen d'un clic droit (Extraire...),
* Clique sur l'onglet "diagnostic du PC" puis "analyser".
* Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
* Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
* Edite le contenu de ce rapport dans ta prochaine réponse. Il se nomme PCA_LOG.txt
FillPCA
Merci bien j'ai pu télécharger le .zip
Voici le log
# PCA Sécurité V 1.2.10, (fichier LOG).
# Rapport du :18/06/2008 23:46:23
Microsoft Windows XP Service Pack 2
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\IcoSauve.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PCA\pca.exe
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
02 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar : Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar : Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE
04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [Steam] - C:\Program Files\Steam\Steam.exe -silent
04 - HKCU\..\RUN: [Tok-Cirrhatus-1266] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - HKCU\..\RUN: [Tok-Cirrhatus] -
04 - HKCU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\RunServices: [Microsoft Update Machine] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RunServices: [Microsoft Update Machine] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-20\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-20\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [MsnMsgr] - SOUNDMAN.EXE
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Steam] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus-1266] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [ctfmon.exe] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - Startup: IcoSauve.lnk= C:\Documents and Settings\Kev\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
08 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
O11 - Options group: [TABS] - Tabbed Browsing
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
O23 - Service: [Service d'état ASP.NET] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [Service COM de gravage de CD IMAPI] -
O23 - Service: [Macromedia Licensing Service] - "C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe"
O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{94ADE9D7-B1B1-43A4-8470-2F2FCA8A3608}
O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
Voici le log
# PCA Sécurité V 1.2.10, (fichier LOG).
# Rapport du :18/06/2008 23:46:23
Microsoft Windows XP Service Pack 2
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Steam\Steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\IcoSauve.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PCA\pca.exe
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
02 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar : Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar : Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE
04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [Steam] - C:\Program Files\Steam\Steam.exe -silent
04 - HKCU\..\RUN: [Tok-Cirrhatus-1266] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - HKCU\..\RUN: [Tok-Cirrhatus] -
04 - HKCU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKLM\..\RunServices: [Microsoft Update Machine] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RunServices: [Microsoft Update Machine] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-19\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-20\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-20\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [MsnMsgr] - SOUNDMAN.EXE
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Steam] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus-1266] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus] - C:\Program Files\Steam\Steam.exe -silent
04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [ctfmon.exe] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe"
04 - Startup: IcoSauve.lnk= C:\Documents and Settings\Kev\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
08 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
09 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
O11 - Options group: [TABS] - Tabbed Browsing
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
O23 - Service: [Service d'état ASP.NET] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [Service COM de gravage de CD IMAPI] -
O23 - Service: [Macromedia Licensing Service] - "C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe"
O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{94ADE9D7-B1B1-43A4-8470-2F2FCA8A3608}
O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
Bonjour,
Belle infection.
1/ * Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
* Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
o Redémarre ton ordinateur.
o Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
o A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
o Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
o Choisis ton compte.
* Déroule la liste des instructions ci-dessous :
o En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
o Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
o Appuie sur Y pour commencer le script.
o Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
o Appuie sur une touche pour redémarrer le PC.
o Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
o Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
o Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
o Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ou un nouveau rapport PCA si tu n'y parviens pas.
2/ * Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) : http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.
3/ # Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
# Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
# Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
# Clique sur "smart scan".
# Clique sur le bouton "scan".
# Quand l'analyse est terminée, clique sur le bouton "save reports".
# Sauvegarde alors le rapport sur ton bureau.
# Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.
FillPCA
Belle infection.
1/ * Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
* Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.
* Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
o Redémarre ton ordinateur.
o Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
o A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
o Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
o Choisis ton compte.
* Déroule la liste des instructions ci-dessous :
o En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
o Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
o Appuie sur Y pour commencer le script.
o Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
o Appuie sur une touche pour redémarrer le PC.
o Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
o Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
o Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
o Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ou un nouveau rapport PCA si tu n'y parviens pas.
2/ * Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) : http://www.malekal.com/download/DiagHelp.zip
Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* Pendant l'analyse après le rapport CATCHME sur l'écran rouge, tu dois appuyer sue entrée pour que l'outil continue ses recherches. Suis les consignes écrites.
* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.
3/ # Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
# Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
# Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
# Clique sur "smart scan".
# Clique sur le bouton "scan".
# Quand l'analyse est terminée, clique sur le bouton "save reports".
# Sauvegarde alors le rapport sur ton bureau.
# Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.
FillPCA
Bonjour, désolé pour le temps de retard.
voici le contenu de Report.txt de SDFix
Le nouveau log PCA
voici le contenu de Report.txt de SDFix
[b]SDFix: Version 1.194 [/b]
Run by Kev on 20/06/2008 at 13:16
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\1.exe - Deleted
C:\WINDOWS\system32\2.exe - Deleted
C:\WINDOWS\system32\1.exe - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 13:22:57
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Fri 23 Feb 2007 45,417 ...H. --- "C:\WINDOWS\KesenjanganSosial.exe"
Fri 23 Feb 2007 45,417 ...H. --- "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
Wed 5 Jul 2006 1,386,496 ..SHR --- "C:\WINDOWS\system32\msvbvm60.dll"
Wed 13 Jun 2007 337,999 ..SHR --- "C:\WINDOWS\system32\xiwuja.exe"
Mon 26 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02418795bf9ae0332d2724a0721b3b6a\BITAA.tmp"
[b]Finished![/b]
Le nouveau log PCA
# PCA Sécurité V 1.2.10, (fichier LOG). # Rapport du :20/06/2008 13:46:54 Microsoft Windows XP Service Pack 2 ==>> Processus <== \SystemRoot\System32\smss.exe \??\C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\IcoSauve.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\PCA\pca.exe //pages de démarrage et de recherche d'Internet Explorer RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html //applications lancées depuis system.ini,win.ini //03 - Browser Helper Objects (BHOs) 02 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll 02 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL 02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll 02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} - 02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 02 - BHO: IeMonitorBho Class - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll O3 - Toolbar : Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar : Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL //04 - applications chargées automatiquement 04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE 04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe" 04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 04 - HKCU\..\RUN: [Steam] - C:\Program Files\Steam\Steam.exe -silent 04 - HKCU\..\RUN: [Tok-Cirrhatus-1266] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe" 04 - HKCU\..\RUN: [Tok-Cirrhatus] - 04 - HKCU\..\RUN: [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe 04 - HKUS\S-1-5-19\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 04 - HKUS\S-1-5-19\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent 04 - HKUS\S-1-5-20\..\RunOnce: [nltide1] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 04 - HKUS\S-1-5-20\..\RunOnce: [nltide2] - C:\Program Files\Steam\Steam.exe -silent 04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [MsnMsgr] - SOUNDMAN.EXE 04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Steam] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe" 04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus-1266] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background 04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [Tok-Cirrhatus] - C:\Program Files\Steam\Steam.exe -silent 04 - HKUS\S-1-5-21-1844237615-2139871995-725345543-1003\..\RUN: [ctfmon.exe] - "C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe" 04 - Startup: IcoSauve.lnk= C:\Documents and Settings\Kev\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk //05 - Accès au panneau de contrôle d'Internet Explorer (control.ini) //06- interdiction à l' accès au options (Internet Explorer) //07 - blocage de l'exécution de Regedit //08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer 08 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html 08 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm //09 - boutons situés sur la barre d'outils principale d'Internet Explorer 09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll 09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll 09 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 09 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe 09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe //O10 - Pirates de Winsock O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll //O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer) O11 - Options group: [INTERNATIONAL] - International* O11 - Options group: [TABS] - Tabbed Browsing //O12 - IE plugins //013 : DefaultPrefix //014 - Option : (Rétablir les paramètres Web) //015 - Zone de confiance d'Internet Explorer //O16 - Objets ActiveX //O17 - piratage de domaine Lop.com //O18 - protocoles additionnels O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll //O19 - feuille de style de l'utilisateur //O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify //O21 - ShellServiceObjectDelayLoad //O22 - SharedTaskScheduler O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll //O23 - services de XP,NT, 2000, et 2003 O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe O23 - Service: [Service d'état ASP.NET] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## - "C:\Program Files\Bonjour\mDNSResponder.exe" O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe O23 - Service: [Application système COM+] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe" O23 - Service: [Service COM de gravage de CD IMAPI] - O23 - Service: [Macromedia Licensing Service] - "C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe" O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\system32\locator.exe O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{94ADE9D7-B1B1-43A4-8470-2F2FCA8A3608} O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe" O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe" O23 - Service: [Carte de performance WMI] - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
Salut,
Tu n'as pas édité tous les rapports.
1/ * Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List of Files/Folders to Move" :
* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
2/ Edite le rapport OTMoveIt et un rapport Hijackthis. Si Hijackthis ne fonctionne pas, édite un rapport PCA à la place.
3/ Edite aussi le rapport Diaghelp et le rapport SREnG que tu n'as pas édité dans ton message précédent. Coupe-les en plusieurs morceaux s'ils sont trop longs.
FillPCA
Tu n'as pas édité tous les rapports.
1/ * Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List of Files/Folders to Move" :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Bron-Spizaetus HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Tok-Cirrhatus-1266 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Tok-Cirrhatus C:\WINDOWS\ShellNew\RakyatKelaparan.exe C:\Documents and Settings\Kev\Local Settings\Application Data\br3555on.exe C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\system32\xiwuja.exe C:\Documents and Settings\Kev\Local Settings\Application Data\winlogon.exe C:\Documents and Settings\Kev\Local Settings\Application Data\services.exe C:\Documents and Settings\Kev\Local Settings\Application Data\lsass.exe EmptyTemp
* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
2/ Edite le rapport OTMoveIt et un rapport Hijackthis. Si Hijackthis ne fonctionne pas, édite un rapport PCA à la place.
3/ Edite aussi le rapport Diaghelp et le rapport SREnG que tu n'as pas édité dans ton message précédent. Coupe-les en plusieurs morceaux s'ils sont trop longs.
FillPCA
