supprimer lop et les autres Résolu/Fermé

Question

Bonjour,

Depuis le mois d'avril dernier je me traine ce fameux lop.com....j'ai commencé un peu mes recherches et possède le rapport hijackthis et j'ai exécuté fixlog
vous avez une soluce ?

merci à vous 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:37, on 20/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\CardDetector\ICON225\CardDetector.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Orange\IEWInternet-DMGP\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\IEWInternet-DMGP\systray\systrayapp.exe
C:\Program Files\Orange\IEWInternet-DMGP\connectivity\connectivitymanager.exe
C:\Program Files\Orange\IEWInternet-DMGP\PhoneTools\TextMessaging.exe
C:\Program Files\Orange\IEWInternet-DMGP\Deskboard\deskboard.exe
C:\Program Files\Orange\IEWInternet-DMGP\connectivity\CoreCom\CoreCom.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Orange\IEWInternet-DMGP\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files\CardDetector\ICON225\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] C:\Program Files\Orange\IEWInternet-DMGP\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'état ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN
ipsvc.exe (file missing)
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

afideg · Answer

Bonsoir Télécharge Lop S&D.exe (Eric 71 & Angeldark) https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 sur ton bureau. 4°- Redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient. Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris. Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre). 5°- Double-clique sur Lop S&D pour lancer l'installation, puis double-clique sur le raccourci Lop S&D présent sur ton bureau, ensuite sélectionne la langue souhaitée, puis choisis l'Option 2 - Suppression +HOSTS - et patiente jusqu'à ce qu'il ait terminé. 6°- Redémarre normalement et poste, dans la même réponse, le contenu du rapport C:\lopR.txt Tutorial Lop S&D : Supprimer les infections lop.com / Swizzor / Adware.Lop http://www.malekal.com/tutorial_Lop_SD.php Merci Al.

afideg · Answer

(suite)

Quand tu auras terminé et posté le rapport de Lop S&D.exe (Eric 71 & Angeldark) , pour confirmer le précédent que tu as utilisé.


A)- Télécharge combofix.exe   http://download.bleepingcomputer.com/sUBs/ComboFix.exe  de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

•	Assure toi que tous les programmes sont fermés avant de commencer.
•	==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
•	==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
•	Double-clique combofix.exe afin de l'exécuter.
•	Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. 
•	Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. 
•	Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
•	Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. 
•	Laisse se dérouler le scan.
•	/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. 	Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » 	sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
•	Lorsque l'analyse sera terminée, un rapport apparaîtra.
•	Copie-colle ce rapport dans ta prochaine réponse.
•	Le rapport se trouve dans : C:\Combofix.txt (si jamais).


B)- Corrige ceci, SVP:

a)- O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin
pjpi150.dll  
 ==> grosse faille de sécurité .
 Dernière version Java Runtime Environment disponible ici : 
https://filehippo.com/download_jre_32/?ex=CORE-116.0  
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions 


b)- O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe   
 ==> grosse faille de sécurité .
Il faut faire la mise à jour version 9  https://get2.adobe.com/reader/otherversions/      
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
-	Décocher "Téléchargez également :Adobe Photoshop® Album Édition" 
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.


c)- O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe  
Wanadoo a tendance à ajouter des trucs qui ne servent à rien! Comme :
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
C'est un service de FranceTelecom, bien inutile, qui malheureusement est à l'origine de plantage sur certaines machines ... (aucun problème à l'enlever, tout fonctionnera parfaitement)Et pour exclure service inutile FTRTSVC, il suffit de faire ainsi: 
Clic sur « Démarrer » > « Exécuter » ; ensuite, dans la lucarne de saisie, coller (recommencer pour chacune des trois commandes suivantes) : 
1°- sc stop FTRTSVC > valider par [OK] 
2°- sc config FTRTSVC start= disabled > valider par [OK] 
3°- sc delete FTRTSVC > valider par [OK]




C)- Termine avec ce "Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr  sous "Internet Explorer".
Branche ton Disque Externe (clé USB) éventuellement
- Clique sur "Démarrer Online-Scanner" (en bas à droite de la page) .
- Clique maintenant sur "J'accepte". 
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. 
- Patiente pendant l'installation des "Mises à jour". 
Clic sur « Paramètres d'analyse » 
Coche la case "Étendue" >> Ok 
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». 
- Sauvegarde puis colle le rapport généré en fin d'analyse.
 http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif 
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif 

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3  >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html  , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641  (par Morgane & nico_dodo)
                           
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.



Bonne chance
Al.

deadlop · Answer

Bonjour AFideg

j'ai fixé LOP par hijackthis, je continue mes mises a jour (adobe et java) selon tes conseils et voila ce qui ressort du premier rapport de FIX SD :

merci a toi pour tes infos !

DL
--------------------\  Lop S&D 4.2.3-2   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M processor         1.50GHz )
   Insyde Software MobilePRO BIOS Version 4.20.10
   BOOT : Fail-safe boot

   "C:\Lop SD" ( MAJ : 20-08-2008|10:54 )
   Option : [2] ( 21/08/2008|11:29 )

 
   \\\\\\\\\\\\\\\ 

 
   --------------------\  Listing des dossiers dans APPLIC~1  

   [26/05/2008|09:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [16/04/2008|00:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [15/08/2008|23:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
   [30/07/2008|17:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
   [09/05/2008|20:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CanonBJ
   [19/08/2008|20:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CanonIJPLM
   [06/04/2008|17:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
   [09/05/2008|20:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
   [19/07/2008|21:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [09/05/2008|20:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ScanSoft
   [16/04/2008|01:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony
   [03/08/2008|20:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Corporation
   [20/08/2008|18:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
   [07/04/2008|22:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
   [21/08/2008|11:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [02/08/2008|20:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [19/07/2008|21:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

   [06/04/2008|17:35] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
   [06/04/2008|15:51] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [06/04/2008|15:51] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
   [29/07/2008|11:55] C:\DOCUME~1\LOCALS~1\APPLIC~1\Mozilla

   [15/04/2008|21:15] C:\DOCUME~1\mouliets\APPLIC~1\Adobe
   [26/05/2008|08:59] C:\DOCUME~1\mouliets\APPLIC~1\AdobeUM
   [20/04/2008|19:32] C:\DOCUME~1\mouliets\APPLIC~1\Apple Computer
   [21/05/2008|12:21] C:\DOCUME~1\mouliets\APPLIC~1\Canon
   [30/07/2008|11:20] C:\DOCUME~1\mouliets\APPLIC~1\CoSoSys
   [06/04/2008|17:35] C:\DOCUME~1\mouliets\APPLIC~1\desktop.ini
   [23/04/2008|11:09] C:\DOCUME~1\mouliets\APPLIC~1\dvdcss
   [21/04/2008|12:18] C:\DOCUME~1\mouliets\APPLIC~1\EoRezo
   [08/08/2008|15:20] C:\DOCUME~1\mouliets\APPLIC~1\gtk-2.0
   [06/04/2008|16:01] C:\DOCUME~1\mouliets\APPLIC~1\Identities
   [06/04/2008|22:51] C:\DOCUME~1\mouliets\APPLIC~1\InterVideo
   [21/04/2008|12:14] C:\DOCUME~1\mouliets\APPLIC~1\ItsLabel
   [15/04/2008|21:15] C:\DOCUME~1\mouliets\APPLIC~1\Macromedia
   [19/07/2008|23:34] C:\DOCUME~1\mouliets\APPLIC~1\Microsoft
   [20/08/2008|18:33] C:\DOCUME~1\mouliets\APPLIC~1\Mozilla
   [18/08/2008|21:12] C:\DOCUME~1\mouliets\APPLIC~1\OpenOffice.org2
   [07/04/2008|21:44] C:\DOCUME~1\mouliets\APPLIC~1\PC Tools
   [09/05/2008|20:55] C:\DOCUME~1\mouliets\APPLIC~1\ScanSoft
   [16/04/2008|01:06] C:\DOCUME~1\mouliets\APPLIC~1\Sony
   [03/05/2008|18:26] C:\DOCUME~1\mouliets\APPLIC~1\Sony Corporation
   [16/04/2008|00:15] C:\DOCUME~1\mouliets\APPLIC~1\Sony Setup
   [15/04/2008|22:49] C:\DOCUME~1\mouliets\APPLIC~1\Sun
   [06/04/2008|20:55] C:\DOCUME~1\mouliets\APPLIC~1\Teleca
   [07/04/2008|00:05] C:\DOCUME~1\mouliets\APPLIC~1\vlc
   [17/05/2008|22:45] C:\DOCUME~1\mouliets\APPLIC~1\WinRAR

   [10/04/2008|21:11] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [21/08/2008 11:25][--ah-----] C:\WINDOWS	asks\SA.DAT
   [05/08/2004 14:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [06/04/2008|17:14] C:\Program Files\Adobe
   [06/04/2008|21:19] C:\Program Files\Alwil Software
   [20/08/2008|19:08] C:\Program Files\Ascaron Entertainment
   [15/08/2008|23:16] C:\Program Files\Avira
   [21/08/2008|11:07] C:\Program Files\backups
   [20/08/2008|17:49] C:\Program Files\Canon
   [09/05/2008|20:33] C:\Program Files\CanonBJ
   [03/06/2008|12:00] C:\Program Files\CardDetector
   [20/08/2008|18:33] C:\Program Files\CCleaner
   [06/04/2008|15:47] C:\Program Files\ComPlus Applications
   [06/04/2008|21:08] C:\Program Files\Disc2Phone
   [21/04/2008|12:18] C:\Program Files\EoRezo
   [20/08/2008|18:25] C:\Program Files\Fichiers communs
   [20/08/2008|21:10] C:\Program Files\HIJACK
   [20/08/2008|20:16] C:\Program Files\HiJackThis.exe
   [20/08/2008|22:50] C:\Program Files\hijackthis.log
   [20/08/2008|20:44] C:\Program Files\hijackthis2
   [20/08/2008|18:23] C:\Program Files\InstallShield Installation Information
   [14/08/2008|22:26] C:\Program Files\Internet Explorer
   [06/04/2008|17:58] C:\Program Files\InterVideo
   [06/04/2008|15:54] C:\Program Files\Java
   [20/08/2008|22:05] C:\Program Files\Lopxp
   [14/08/2008|22:29] C:\Program Files\Messenger
   [21/07/2008|13:33] C:\Program Files\Microsoft CAPICOM 2.1.0.2
   [06/04/2008|15:55] C:\Program Files\microsoft frontpage
   [12/08/2008|12:44] C:\Program Files\Microsoft IntelliPoint
   [22/04/2008|20:17] C:\Program Files\Microsoft Office
   [06/04/2008|15:48] C:\Program Files\Movie Maker
   [21/08/2008|11:22] C:\Program Files\Mozilla Firefox
   [22/04/2008|18:49] C:\Program Files\MSN
   [06/04/2008|15:46] C:\Program Files\MSN Gaming Zone
   [10/05/2008|21:41] C:\Program Files\MSXML 4.0
   [06/04/2008|15:48] C:\Program Files\NetMeeting
   [22/06/2008|22:03] C:\Program Files\OpenOffice.org 2.4
   [03/06/2008|23:25] C:\Program Files\Orange
   [10/04/2008|21:15] C:\Program Files\Outlook Express
   [16/04/2008|00:59] C:\Program Files\QuickTime
   [06/04/2008|16:17] C:\Program Files\Realtek AC97
   [06/04/2008|16:10] C:\Program Files\S3
   [09/05/2008|20:54] C:\Program Files\ScanSoft
   [06/04/2008|15:49] C:\Program Files\Services en ligne
   [03/08/2008|20:46] C:\Program Files\Sony
   [20/08/2008|17:46] C:\Program Files\Sony Ericsson
   [16/04/2008|00:00] C:\Program Files\Sony Setup
   [21/08/2008|10:58] C:\Program Files\Spyware Doctor
   [06/04/2008|17:20] C:\Program Files\Synaptics
   [06/04/2008|16:01] C:\Program Files\Uninstall Information
   [06/04/2008|16:06] C:\Program Files\VIA
   [06/04/2008|23:29] C:\Program Files\VideoLAN
   [20/07/2008|21:29] C:\Program Files\Windows Media Player
   [06/04/2008|15:46] C:\Program Files\Windows NT
   [06/04/2008|15:49] C:\Program Files\WindowsUpdate
   [17/05/2008|22:44] C:\Program Files\WinRAR
   [06/04/2008|17:10] C:\Program Files\WinZip
   [06/04/2008|15:55] C:\Program Files\xerox
   [20/08/2008|18:36] C:\Program Files\Yahoo!

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [26/05/2008|09:07] C:\Program Files\Fichiers communs\Adobe
   [09/05/2008|20:47] C:\Program Files\Fichiers communs\CANON
   [03/06/2008|23:24] C:\Program Files\Fichiers communs\France Telecom
   [09/05/2008|20:55] C:\Program Files\Fichiers communs\InstallShield
   [06/04/2008|15:54] C:\Program Files\Fichiers communs\Java
   [27/07/2008|12:17] C:\Program Files\Fichiers communs\Microsoft Shared
   [06/04/2008|15:48] C:\Program Files\Fichiers communs\MSSoap
   [06/04/2008|17:36] C:\Program Files\Fichiers communs\ODBC
   [21/07/2008|18:28] C:\Program Files\Fichiers communs\PocketSoft
   [09/05/2008|20:55] C:\Program Files\Fichiers communs\ScanSoft Shared
   [06/04/2008|15:48] C:\Program Files\Fichiers communs\Services
   [15/04/2008|21:19] C:\Program Files\Fichiers communs\Sony Shared
   [06/04/2008|17:36] C:\Program Files\Fichiers communs\SpeechEngines
   [27/07/2008|13:30] C:\Program Files\Fichiers communs\SWF Studio
   [07/04/2008|22:09] C:\Program Files\Fichiers communs\Symantec Shared
   [10/04/2008|21:15] C:\Program Files\Fichiers communs\System
   [19/07/2008|21:02] C:\Program Files\Fichiers communs\WindowsLiveInstaller

   --------------------\  Process

   ( 15 Processus )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop


   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2008-08-21 11:31:16
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [F:213][D:70]-> C:\DOCUME~1\mouliets\LOCALS~1\Temp
   [F:1][D:0]-> C:\DOCUME~1\mouliets\Cookies
   [F:6][D:4]-> C:\DOCUME~1\mouliets\LOCALS~1\TEMPOR~1\content.IE5

   --------------------\  Fin du rapport a 11:32:38

afideg · Answer

Bonjour,

OK  ==> pas de Lop comme annoncé au départ.

Poursuis la procédure, dans l'ordre, comme demandé.

Merci.
Al.

deadlop · Answer

juste un point que je voulais vérifier : lopl réapparait en O17 (HIJACKJHIS) dés que je me reconnecte au net

parfois la connexion plante quand je le fixe avec hijackthis, et en me reconnectant il réapparait....

pour info !

afideg · Answer

Re,

Cit: « lopl réapparait en 17 »

Veux-tu dire en O17 sur HijackThis ?

Poursuis la procédure, dans l'ordre, comme demandé ===> et rien d'autre.

Al.

deadlop · Answer

AL, pour info, j'ai analyser le pc avec spyware doctor aprés combo fix et aprés redémarrage du pc et m'a trouvé un trojan et26 infections : j'ai néttoyé,mais était-il désactivé auparavant ? voila en tout cas le rapport combofix : je continue les mises a jour préconisée ComboFix 08-08-19.06 - mouliets 2008-08-21 12:23:26.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.240 [GMT 2:00] Endroit: C:\Documents and Settings\mouliets\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS emp\perflib_perfdata_1cc.dat . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-21 to 2008-08-21 )))))))))))))))))))))))))))))))))))) . 2008-08-21 11:28 . 2008-08-21 11:32 d-------- C:\Lop SD 2008-08-20 21:58 . 2008-08-20 22:05 d-------- C:\Program Files\Lopxp 2008-08-20 21:14 . 2008-08-21 12:14 d-------- C:\Program Files\backups 2008-08-20 20:52 . 2008-08-20 21:10 d-------- C:\Program Files\HIJACK 2008-08-20 20:16 . 2008-08-20 20:16 401,720 --a------ C:\Program Files\HiJackThis.exe 2008-08-20 19:08 . 2008-08-20 19:08 d-------- C:\Program Files\Ascaron Entertainment 2008-08-20 18:33 . 2008-08-20 18:36 d-------- C:\Program Files\Yahoo! 2008-08-20 18:33 . 2008-08-20 18:33 d-------- C:\Program Files\CCleaner 2008-08-20 18:22 . 2008-08-20 18:22 d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson 2008-08-15 23:16 . 2008-08-15 23:16 d-------- C:\Program Files\Avira 2008-08-15 23:16 . 2008-08-15 23:16 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-08-15 18:41 . 2008-08-20 17:44 d-------- C:\WINDOWS\system32\CatRoot2 2008-08-12 14:22 . 2008-08-12 14:22 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-08-12 14:22 . 2008-08-12 14:22 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf 2008-08-12 14:06 . 2008-08-12 14:06 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-08-12 14:06 . 2008-08-12 14:06 21,672 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys 2008-08-12 14:06 . 2008-08-12 14:06 13,352 --a------ C:\WINDOWS\system32\drivers\ggflt.sys 2008-08-12 12:44 . 2008-08-12 12:44 d-------- C:\Program Files\Microsoft IntelliPoint 2008-08-07 23:19 . 2008-08-08 15:20 d-------- C:\Documents and Settings\mouliets\Application Data\gtk-2.0 2008-08-07 20:00 . 2004-08-04 00:40 25,856 --a------ C:\WINDOWS\system32\drivers\hidbth.sys 2008-08-07 20:00 . 2004-08-04 00:40 25,856 --a--c--- C:\WINDOWS\system32\dllcache\hidbth.sys 2008-08-07 20:00 . 2004-08-04 00:45 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys 2008-08-07 20:00 . 2004-08-04 00:45 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys 2008-07-30 17:32 . 2008-07-30 17:32 d-------- C:\Documents and Settings\All Users\Application Data\BVRP Software 2008-07-30 11:20 . 2008-07-30 11:20 d-------- C:\Documents and Settings\mouliets\Application Data\CoSoSys 2008-07-27 13:30 . 2008-07-27 13:30 d-------- C:\Program Files\Fichiers communs\SWF Studio 2008-07-27 12:20 . 2008-07-27 22:00 d-------- C:\WINDOWS\SxsCaPendDel 2008-07-21 18:28 . 2008-07-21 18:28 d-------- C:\Program Files\Fichiers communs\PocketSoft 2008-07-21 13:33 . 2008-07-21 13:33 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-21 10:20 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-08-21 08:58 --------- d-----w C:\Program Files\Spyware Doctor 2008-08-20 20:50 6,003 ----a-w C:\Program Files\hijackthis.log 2008-08-20 18:44 6,796 ----a-w C:\Program Files\hijackthis2 2008-08-20 16:23 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-20 15:49 --------- d-----w C:\Program Files\Canon 2008-08-20 15:46 --------- d-----w C:\Program Files\Sony Ericsson 2008-08-19 18:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\CanonIJPLM 2008-08-18 19:12 --------- d-----w C:\Documents and Settings\mouliets\Application Data\OpenOffice.org2 2008-08-03 18:46 --------- d-----w C:\Program Files\Sony 2008-08-03 18:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Corporation 2008-07-19 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-07-19 19:02 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-22 20:03 --------- d-----w C:\Program Files\OpenOffice.org 2.4 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CanonSolutionMenu"="C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 18:01 644696] "CanonMyPrinter"="C:\Program Files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 18:50 1603152] "OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 12:02 79400] "CardDetectorICON225"="C:\Program Files\CardDetector\ICON225\CardDetector.exe" [2007-11-14 01:47 278528] "BEWINTERNET-FR-DMGP-V2SessionManager"="C:\Program Files\Orange\IEWInternet-DMGP\SessionManager\SessionManager.exe" [2007-12-05 14:22 107248] "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 01:52 849280] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497] "VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe] "VTTrayp"="VTtrayp.exe" [2005-09-14 13:47 167936 C:\WINDOWS\system32\VTTrayp.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2008-04-23 03:38:16 29696] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\WINDOWS\system32\usmt\migwiz.exe"= "C:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe"= "C:\Program Files\Orange\IEWInternet-DMGP\Connectivity\ConnectivityManager.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Sony Ericsson\Update Service\Update Service.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2008-04-07 09:38] R2 IJPLMSVC;PIXMA Extended Survey Program;C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 08:49] S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-08-12 14:06] S3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-11-14 00:29] S3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-11-14 00:29] S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-11-14 00:29] S3 odysseyIM4;Odyssey Network Agent Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM4.sys [2005-05-18 13:52] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9605915a-5e18-11dd-8be9-00c0a8aa5b9c}] \Shell\AutoRun\command - E:\StartPortableApps.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d1aa3f68-3153-11dd-8b5c-00c0a8aa5b9c}] \Shell\AutoRun\command - E:\AutoRunCardDetector.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - ORPHANS REMOVED - - - - Notify-OdysseyClient - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\mouliets\Application Data\Mozilla\Firefox\Profiles rtnt2by.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser ppdf32.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPJava11.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPJava12.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPJava13.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPJava14.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPJava32.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPJPI150.dll FF -: plugin - C:\Program Files\Java\jre1.5.0\bin\NPOJI610.dll FF -: plugin - C:\Program Files\Yahoo!\Common pyaxmpb.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-21 12:25:34 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-21 12:30:06 ComboFix-quarantined-files.txt 2008-08-21 10:30:02 Pre-Run: 27,398,885,376 octets libres Post-Run: 27,992,600,576 octets libres 141 --- E O F --- 2008-08-21 08:44:43

deadlop · Answer

on es reparti :

aprés le test antivirus en ligne, Kapersky me répond ça a la mise a jour active X :


Échec du chargement du contrôle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des privilèges d'administrateur sur ce poste ;
en outre, il faut configurer le niveau de sécurité IE sur Moyen.

il me semble bien que je suis l'administrateur de ce pc ( a moins que ... comment bien le vérifier ? oui je sais, il me manque des bases !...)

j'ai réessayer en désinstallant Kapersky on line mais j'ai tjrs des erreurs sur la page du scan (et moult pop-up qui essaye de passer, mais reste bloqué

je vais au moins vérifier la config dIE en le paramétrant sur niveau de sécurité moyen

pour info j'ai vérifier avec Hijackthis, mais j'ai toujours lop en O17....

afideg · Answer

Re,

Poste un dernier rapport d'analyse par HijackThis, SVP.
Merci

deadlop · Answer

le voila :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:34, on 21/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\CardDetector\ICON225\CardDetector.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Orange\IEWInternet-DMGP\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Orange\IEWInternet-DMGP\systray\systrayapp.exe
C:\Program Files\Orange\IEWInternet-DMGP\connectivity\connectivitymanager.exe
C:\Program Files\Orange\IEWInternet-DMGP\PhoneTools\TextMessaging.exe
C:\Program Files\Orange\IEWInternet-DMGP\Deskboard\deskboard.exe
C:\Program Files\Orange\IEWInternet-DMGP\connectivity\CoreCom\CoreCom.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Orange\IEWInternet-DMGP\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [CardDetectorICON225] C:\Program Files\CardDetector\ICON225\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] C:\Program Files\Orange\IEWInternet-DMGP\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{603207AB-7972-448C-A95B-F71F2ADDEA9E}: NameServer = 194.51.3.56
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'état ASP.NET (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN
ipsvc.exe (file missing)
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

afideg · Answer

(suite) D'abord, je ne vois rien d'anormal en O17 Es-tu bien client chez France Telecom Transpac (Orange ? ==> C:\Program Files\Orange !) 112, avenue Charles de Gaulle - 92200 Neuilly sur Seine ? (qui serait ton FAI) Ensuite, on ne m'a jamais appris qu'une infection Lop se localisait en O17. Pour Kaspersky, as-tu tenu compte de ceci: AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 > Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html , ou là : https://forum.pcastuces.com/sujet.asp?f=25&s=37641 (par Morgane & nico_dodo) NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. Vas aussi dans la barre d'outils d'une page Internet > clic sur "Outils" > onglet "Options Internet ..." > une page s'ouvre > choisis l'onglet "Sécurité" > paramètre le niveau sur "Moyen" et valide par OK Je vois que tu as un résidu de Norton/Symantec ici: [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 1°- Vas dans ajout/suppression de programmes du panneau de configuration.Dans la liste, cherche tout ce qui peut porter les mots suivants et lance la désinstallation : CC_ccProxyMSI CC_ccStart ccCommon LiveReg (Symantec Corporation) LiveUpdate (Symantec Corporation) Tout ce qui porte le mot Symantec Tout ce qui porte le mot Norton 2°- Sinon, le désinstallateur de Norton (toutes versions) ==> Tu n'as pas besoin du CD. Il faut que tu télécharges et que tu exécutes le fichier Norton_removal : < ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe > . Merci Al.

deadlop · Answer

ok,

pour la ligne 017, d'aprés zebulon.fr cette ligne correspondrait aux "pirates du domaine lop.com", c'est pour cela que je suis parti dans cette supposition où j'étais infecté a cause d'eux...

sinon, je suis bien client chez orange avec clef 3g+, fft soir et WE (que j'ai claqué du reste, avec le téléchargement des mises a jour, mais bon...) 

pour kapersky,  j'ai pu activer ActiveX, ça a donc fonctionné,
 le test en ligne est en train de se terminer (Il est a 84% et rien n'a encore été trouvé), 

d'aprés toi, y'a t il encore des failles de sécurité en O9 ? j'ai bien mis a jour java et adobe a jour, et virer l'ancien java

merci

deadlop · Answer

Voici le rapport d'analyse kapersky, en espérant que ça sente pas le sapin....
merci pour ton interprétation


Thursday, August 21, 2008 7:17:52 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 21/08/2008
Enregistrements dans la base antivirus Kaspersky : 1119018
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	faux
Cible de l'analyse 	Poste de travail
C:\
D:\
Statistiques de l'analyse
Total d'objets analysés 	50748
Nombre de virus trouvés 	0
Nombre d'objets infectés 	0 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	03:58:05

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000000-F9D8AB68.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-022120A7.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-026972DB.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-02BC6FA2.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-0344272F.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-9437CE73.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-B7DE9AF2.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000001-B83CF045.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000002-0F381A92.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000002-0F5A8D90.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000002-0F6F9648.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000002-1C84C400.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000002-1C85A0D4.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000002-1CA82605.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000003-4A21B1F0.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000003-5E013B04.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000003-5E30E231.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000003-64CC119E.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000003-64DFA8D1.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000003-8322034F.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000004-EC2516E4.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-17F62BEB.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-78615B39.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-7BF3435F.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-7C4D3160.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-83EF2149.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-85D1C871.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-865AE6E8.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-86FAA6B4.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\TEMP\AVGUARD_48b5779c\00000005-E752FEF4.av$ 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Local Settings	emp\~DF4FC.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets\Local Settings\Temporary Internet Files\Content.IE5\S7WJOXUV\be_nouvellecollection_080808[1].swf 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets
tuser.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\mouliets
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{2E47A2DF-7B25-4D26-A17F-470AFFF6BBA4}\RP142\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\ModemLog_GlobeTrotter HSxPA - Modem Interface.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{D704DA0E-0007-480C-85E5-777418E28161}.bin 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
Analyse terminée.

afideg · Answer

(suite)

Pas d'infection donc.

Pour cette O17, fais cette manip : 

Démarrer > Panneau de configuration > Connexions > clic droit sur la connexion > Propriétés > onglet Gestion de réseau 
Mets en surbrillance Protocole Internet (tcp/ip) puis clique sur [Propriétés] 
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) tu dois trouver l'adresse présente dans Hijack en ligne 017 ==>  194.51.3.56 

Pour l'éliminer du rapport HJT, coche : "Obtenir les adresses des serveurs DNS automatiquement" puis clique 2 fois sur"Ok" et redémarrer le PC. 

Redémarre ton PC et remet un log Hijack pour vérif.

Ton dernier log HJT ne montre pas de O9.

As-tu supprimé les résidus de Norton/Symantec ? 

Lance une analyse complète avec ton Avira AntiVir Personal ==> active la recherche de ROOTKITS.


à+..

deadlop · Answer

yep!

pas de dns correspondante au log HJT, tout est vierge ds les champs concernés,

j'ai bien désinstallé norton et ses composants grâce à l'utilitaire que tu m'as conseillé,

je vais refaire une analyse antivir, en cochant les rootkits, 

sinon "Obtenir les adresses des serveurs DNS automatiquement" est déja cochée, j'ai regardé les autres connexions éventuelles, rien n'indique le serveur DNS vu ds HJT (194.51.3.56 ) ni ds la connexion principale (internet everywhere orange), nada quoi

dit moi, est ce que mes "grosses failles de sécurité" sont comblés d'aprés toi ?

encore merci pour ton aide !

DL

afideg · Answer

Re,

Oui, (je ne vois plus rien).

Si tu veux la sérénité, question ton fournisseur d'accès à Internet à propos de cette IP 194.51.3.56 (mais pour moi, il ne fait aucun doute que c'est bien ton FAI.

Antivir ==> merci

Bonne soirée
Al.

deadlop · Answer

oui je manquerai pas de leur poser la question, 
je te remercie bcp pour tous tes conseils
je n'hésiterais pas la prochaine fois, tu m'as l'air bien compétent (plus compétent que les tek d'alice en tout cas, j'y travaillais)

bonne soirée, @+ (si besoin est)
DL

deadlop · Answer

bjr Al,

une info stp : lors de scan antivir, j'ai prés de 45 fichiers ignorés car vérouillés (en "WARNINGS"), est ce que ça une incidence sur la détection d'éventuel virus ? 

pour l'IP 194.51.3.56, je vais demander a orange s'il s'agit bien de leur service, je te confirme ça ds la journée si tes dires était juste

bonne journée

DL

afideg · Answer

Bonjour,

Donne-moi ce rapport ANTIVIR.
Merci

Al.

deadlop · Answer

re,

comme google est notre ami, on peut effectivement voir que l'IP 194.51.3.56 appartient bien a orange (lié a une connexion au réseau mobile > mobile, carte pcmcia, ou clef 3 g+, dans mon cas)
je suis un peu plus serein maintenant...!

Supprimer lop et les autres

28 réponses

Discussions similaires