Fond d'ecran bloqué trojan win 32 monder gen

Fermé
aline - 4 sept. 2008 à 19:10
 elfredo21 - 19 janv. 2009 à 12:47
Bonjour,
Depuis plusieurs semaine suite à un trojan win 32 monder gen, plus possible de changer mon fond d'ecran, et point de restauration bloqué depuis infection!

hier j'ai posté pour avoir de l'aide pour me débarrasser de mon virus comme pas de réponse, j'ai regardé un peu les démarches qu'il fallait faire, donc j'ai supprimer avast et remplacé par antivir, j'ai télécharger malwarebytes, et hijackthis, après avoir scanner avec malwarebytes et antivir (2 scan avec mode sans échec et 2 en mode normal, un pour le compte utilisateur et 1 pour l'administrateur pour être sure.

il n' y a plus de fenêtres intempestives pour le moment, et mon ordi ne rame plus..mais toujours ce probleme de fond d'ecran,manque 2 boutons, et je voudrais être sûre que tout est ok, comme je ne sais pas lire les rapports hijackthis.
merci d'avance.
A voir également:

67 réponses

ok merci!
0
voila le rapport!

ComboFix 08-09-04.02 - HELENE N 2008-09-05 1:43:55.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.731 [GMT 2:00]
Endroit: C:\Documents and Settings\HELENE N\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\HELENE~1\LOCALS~1\Temp\jewhfwje
C:\Documents and Settings\HELENE N\Local Settings\Temporary Internet Files\SuggestedSites.dat
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Temp\tmpvc14
C:\Temp\tmpvc14\dllvc.log
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\amngbwau.ini
C:\WINDOWS\system32\andswkby.ini
C:\WINDOWS\system32\bdruupoo.ini
C:\WINDOWS\system32\bronlcxw.ini
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\ecsbwbra.ini
C:\WINDOWS\system32\eqmuglmh.ini
C:\WINDOWS\system32\ggtuefqy.ini
C:\WINDOWS\system32\iirogknq.ini
C:\WINDOWS\system32\jbsxwxgq.ini
C:\WINDOWS\system32\jmetimkm.ini
C:\WINDOWS\system32\kavqlnpg.ini
C:\WINDOWS\system32\ksnjqpho.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\naarsxod.ini
C:\WINDOWS\system32\oiwnbvyj.ini
C:\WINDOWS\system32\pugrfswc.ini
C:\WINDOWS\system32\sqrffamb.ini
C:\WINDOWS\system32\sxgoqvyx.ini
C:\WINDOWS\system32\tdyxytkn.ini
C:\WINDOWS\system32\tuumxymq.ini
C:\WINDOWS\system32\vondufjt.ini
C:\WINDOWS\system32\xhjdxgts.ini
C:\WINDOWS\system32\xkghqhmb.ini
C:\WINDOWS\temp\perflib_perfdata_1cc.dat

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-04 to 2008-09-04 ))))))))))))))))))))))))))))))))))))
.

2008-09-05 00:45 . 2008-09-05 00:45 <REP> d----c--- C:\_OTMoveIt
2008-09-05 00:25 . 2008-09-05 00:25 8,192 --ahsc--- C:\WINDOWS\Thumbs.db
2008-09-04 23:15 . 2008-09-05 00:25 <REP> d----c--- C:\Lop SD
2008-09-03 15:51 . 2008-09-03 15:51 <REP> d----c--- C:\Program Files\Avira
2008-09-03 15:51 . 2008-09-03 15:51 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-03 13:52 . 2008-09-03 13:52 <REP> d----c--- C:\Program Files\Trend Micro
2008-09-03 08:43 . 2008-09-03 08:43 <REP> d----c--- C:\Documents and Settings\HELENE N\Application Data\Malwarebytes
2008-09-03 08:43 . 2008-09-02 00:16 38,528 --a--c--- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-03 08:43 . 2008-09-02 00:16 17,200 --a--c--- C:\WINDOWS\system32\drivers\mbam.sys
2008-09-03 08:42 . 2008-09-03 08:43 <REP> d----c--- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-03 08:42 . 2008-09-03 08:42 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-31 13:59 . 2008-09-03 17:32 <REP> d----c--- C:\VundoFix Backups
2008-08-30 17:46 . 2008-08-30 17:46 <REP> d--hsc--- C:\Documents and Settings\HELENE N\PrivacIE
2008-08-30 17:37 . 2008-08-30 17:38 <REP> d--h-c--- C:\WINDOWS\ie8
2008-08-22 03:15 . 2008-08-22 03:15 1,216,512 -----c--- C:\WINDOWS\system32\ieframe.dll.mui
2008-08-22 03:14 . 2008-08-22 03:14 10,240 -----c--- C:\WINDOWS\system32\advpack.dll.mui
2008-08-22 03:08 . 2008-08-22 03:08 236,544 -----c--- C:\WINDOWS\system32\dllcache\webcheck.dll
2008-08-22 03:07 . 2008-08-22 03:07 105,984 -----c--- C:\WINDOWS\system32\dllcache\url.dll
2008-08-22 03:05 . 2008-08-22 03:05 48,640 -----c--- C:\WINDOWS\system32\PrivacIE.dll
2008-08-18 19:57 . 2008-08-18 19:57 <REP> d----c--- C:\Documents and Settings\HELENE N\Application Data\ItsLabel
2008-08-18 17:05 . 2008-08-18 21:20 <REP> d----c--- C:\Documents and Settings\HELENE N\Application Data\EoRezo
2008-08-18 17:04 . 2008-08-18 21:20 <REP> d----c--- C:\Program Files\EoRezo
2008-08-13 12:04 . 2008-08-13 12:04 <REP> d----c--- C:\Program Files\Sun
2008-08-05 17:55 . 2008-08-05 17:55 265,720 --a--c--- C:\WINDOWS\system32\msdbg2.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-03 06:21 --------- dc----w C:\Program Files\Windows Live Toolbar
2008-09-01 11:33 --------- dc----w C:\Program Files\eMule
2008-09-01 10:46 --------- dc----w C:\Program Files\LimeWire
2008-09-01 10:44 --------- dc----w C:\Documents and Settings\HELENE N\Application Data\LimeWire
2008-08-30 19:11 --------- dc----w C:\Program Files\a-squared Free
2008-08-30 18:11 --------- dc----w C:\Program Files\Fichiers communs\InstallShield
2008-08-13 10:01 --------- dc----w C:\Program Files\Java
2008-07-29 05:14 --------- dc----w C:\Program Files\SLD Codec Pack
2008-07-29 05:12 --------- dc----w C:\Program Files\K-Lite Codec Pack
2008-07-12 15:36 --------- dc----w C:\Documents and Settings\HELENE N\Application Data\Media Player Classic
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" [2007-06-29 286720]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 13:01 32768 C:\Program Files\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 23:45 28672 C:\WINDOWS\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2006-02-01 16:09 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\i-Media\\ims.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=

R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2005-11-08 11520]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\Drivers\IBMBLDID.sys [2006-01-13 6016]
R1 TPPWR;TPPWR;C:\WINDOWS\system32\drivers\Tppwr.sys [2004-08-25 16384]
R2 V7;V7;C:\WINDOWS\system32\drivers\V7.sys [2000-03-09 7196]
R3 Tp4Track;PS/2 TrackPoint Driver;C:\WINDOWS\system32\DRIVERS\tp4track.sys [2005-07-13 13840]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2002-10-16 19968]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
.
- - - - ORPHANS REMOVED - - - -

BHO-{4B70E5EA-C42B-40AD-B775-54A1D2A819BE} - C:\WINDOWS\system32\qoMdDurO.dll
BHO-{9203D6A1-0985-4A4C-B83A-60570107FB48} - C:\WINDOWS\system32\khfFWnMg.dll
HKCU-Run-Magentic - C:\PROGRA~1\Magentic\bin\Magentic.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
O8 -: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O15 -: Trusted Zone: *.hotmail.com
O15 -: Trusted Zone: *.live.fr
O15 -: Trusted Zone: *.msn.com
O15 -: Trusted Zone: *.passport.com
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-05 01:53:31
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Program Files\ThinkPad\ConnectUtilities\AcSvcStub.dll
-> C:\Program Files\ThinkPad\ConnectUtilities\AcLocSettings.dll
-> C:\Program Files\ThinkPad\ConnectUtilities\ACHelper.dll
-> C:\WINDOWS\system32\tphklock.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\TpKmpSvc.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Program Files\RangoonWidget\eau.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-05 2:03:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-05 00:03:01

Pre-Run: 8,283,680,768 octets libres
Post-Run: 9,656,164,352 octets libres

181 --- E O F --- 2008-05-15 06:10:52
0
je pense que je vais aller faire dodo!
est ce que ça pose un problème de continuer demain!?
à quel moment de la journée je peux te recontacter? c'est mieux de rester avec une seule personne pour continuer ces manips, non?...
un grand merci et j'attends ta réponse avant de fermer.
0
si il ne reste pas trop de manip et que c'est mieux de continuer, pas de soucis.. je préfère que mon ordi soit sûr!
qu'en pense tu?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
5 sept. 2008 à 02:17
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\Lop SD
C:\VundoFix Backups
C:\WINDOWS\ie8
C:\Program Files\EoRezo
C:\Documents and Settings\HELENE N\Application Data\ItsLabel
C:\Documents and Settings\HELENE N\Application Data\EoRezo
C:\WINDOWS\system32\PrivacIE.dll


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. +un nouveau rapport hijackthis

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
0
je viens d'aller dans affichage et mes arrières plan sont revenus!! je touche à rien pour le moment, j'attends ton feu vert...pour savoir où on en est
0
ok je relance otmoveit!
0
le rapport otmoveit:

C:\Lop SD\Backup-Lop\Reg moved successfully.
C:\Lop SD\Backup-Lop\Hosts moved successfully.
C:\Lop SD\Backup-Lop\DOCUME~1\HELENE~1\LOCALS~1\Temp moved successfully.
C:\Lop SD\Backup-Lop\DOCUME~1\HELENE~1\LOCALS~1 moved successfully.
C:\Lop SD\Backup-Lop\DOCUME~1\HELENE~1\Cookies moved successfully.
C:\Lop SD\Backup-Lop\DOCUME~1\HELENE~1 moved successfully.
C:\Lop SD\Backup-Lop\DOCUME~1 moved successfully.
C:\Lop SD\Backup-Lop moved successfully.
C:\Lop SD moved successfully.
C:\VundoFix Backups moved successfully.
C:\WINDOWS\ie8\spuninst moved successfully.
C:\WINDOWS\ie8 moved successfully.
C:\Program Files\EoRezo\EoAdv moved successfully.
C:\Program Files\EoRezo moved successfully.
C:\Documents and Settings\HELENE N\Application Data\ItsLabel\ItsTV moved successfully.
C:\Documents and Settings\HELENE N\Application Data\ItsLabel moved successfully.
C:\Documents and Settings\HELENE N\Application Data\EoRezo\eoStats moved successfully.
C:\Documents and Settings\HELENE N\Application Data\EoRezo\eoDesktop moved successfully.
C:\Documents and Settings\HELENE N\Application Data\EoRezo\db moved successfully.
C:\Documents and Settings\HELENE N\Application Data\EoRezo moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\PrivacIE.dll
C:\WINDOWS\system32\PrivacIE.dll NOT unregistered.
C:\WINDOWS\system32\PrivacIE.dll moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09052008_022627
0
et hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:28:54, on 05/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\RangoonWidget\eau.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: eau3027331178.lnk = C:\Program Files\RangoonWidget\eau.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.hotmail.com
O15 - Trusted Zone: *.live.fr
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: *.passport.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
0
Utilisateur anonyme
5 sept. 2008 à 02:30
réouvre hijackthis
fais scan only
coches ces lignes :

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)


tu les coches et tu clic sur fix checked

ensuite :

Télécharge ce fichier sur le bureau :

http://downloads.malwareremoval.com/Nel/FixP.zip


Extrait et double clique sur Fix_Protocol_zones_ranges.reg.

Acceptes lorsqu'il te demande de fusionner avec le registre.


ensuite :

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):


http://download.piriform.com/ccsetup210.exe

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

-> Tuto : https://www.malekal.com/tutoriel-ccleaner/

* pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
-->
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).



Désactive et réactive ta restauration system :

(1) Désactiver la Restauration du système

cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Coches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.


(2) Activer la Restauration du système


cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.


Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
0
je n'arrive plus à poster! j'étais avec chikitine29 pour éliminer un trojan!!
0
[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\VundoFix.txt: trouvé !
C:\Combofix.txt: trouvé !
C:\lopR.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\HELENE N\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\HELENE N\Bureau\LopSD.exe: trouvé !
C:\Documents and Settings\HELENE N\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\HELENE N\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\HELENE N\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\HELENE N\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\HELENE N\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\_OTMoveIt\MovedFiles\09052008_022627\Lop SD: trouvé !
C:\_OTMoveIt\MovedFiles\09052008_022627\Vundofix backups: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\HELENE N\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\HELENE N\Bureau\LopSD.exe: supprimé !
C:\Documents and Settings\HELENE N\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\HELENE N\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HELENE N\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\HELENE N\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\Combofix.txt: supprimé !
C:\lopR.txt: supprimé !
C:\Documents and Settings\HELENE N\Bureau\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Sauvegarde du registre crée !
Fichiers temporaires nettoyés !
Point de restauration crée !
0
voila le rapport, par contre pour la restauration du système gros bug!!??
quand j'ai coché désactiver la restauration du systeme j'ai fait appliquer et j'ai eu message de confirmation et ok! mais après pour la restauration quand j'ai cliqué sur appliquer , le bouton appliquer est rester bloqué et pas moyen d'avoir un message de confirmation, donc j'ai été obligé de recocher "désactiver la restauration"! je vais rééssayer!!
qu'est ce que je dois faire!??
0
ça rame et d'un seul coup plus rien ça se bloque! le bouton appliquer reste "enfoncé"!
???
0
je suis retourné dans propriétés et le bouton est toujours enfoncé..je coche ou décoche la case"désactiver la restauration"??
0
Utilisateur anonyme
5 sept. 2008 à 03:33
coche et redémarre
0
au même moment du bug, ça ramé et je ne pouvais plus poster la fenêtre avait disparue!
0
je fais appliquer et ok, et je redémarre ordi alors..
0
Utilisateur anonyme
5 sept. 2008 à 03:42
oui c ça
0