 |
|
|
|
Configuration: Windows XP Firefox 1.5.0.9
Bonjour
il y a infection. Télécharge LopxpMH de Lazzzy sur ton Bureau. http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat. Poste le contenu du rapport qui va s'ouvrir.
|
Rapport fait à 21:20:12.45 le 11.01.2007
****************************************** ## Répertoires Application Data Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\All Users\Application Data 27.12.2005 15:47 <REP> . 27.12.2005 15:47 <REP> .. 12.09.2006 13:22 <REP> ACD Systems 27.12.2005 17:10 <REP> Adobe 27.12.2005 17:19 <REP> CyberLink 03.01.2007 13:24 <REP> Default32bibsafe 30.12.2005 19:29 <REP> HP 30.04.2006 12:07 <REP> Messenger Plus! 27.12.2005 15:47 <REP> Microsoft 27.12.2005 16:26 <REP> Network Associates 23.06.2006 13:21 <REP> Photocolor 27.12.2005 17:16 <REP> Spybot - Search & Destroy 07.01.2007 10:56 <REP> Zylom 27.12.2005 15:47 62 desktop.ini 30.12.2005 19:22 4'888 hpzinstall.log 2 fichier(s) 4'950 octets 13 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\Default User\Application Data 27.12.2005 15:47 <REP> . 27.12.2005 15:47 <REP> .. 27.12.2005 15:47 <REP> Microsoft 27.12.2005 15:47 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 27.12.2005 15:47 <REP> . 27.12.2005 15:47 <REP> .. 0 fichier(s) 0 octets 2 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\LocalService\Application Data 27.12.2005 15:58 <REP> . 27.12.2005 15:58 <REP> .. 27.12.2005 15:58 <REP> Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 27.12.2005 15:58 <REP> . 27.12.2005 15:58 <REP> .. 27.12.2005 15:58 <REP> Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 27.12.2005 15:58 <REP> . 27.12.2005 15:58 <REP> .. 27.12.2005 15:58 <REP> Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 27.12.2005 15:58 <REP> . 27.12.2005 15:58 <REP> .. 27.12.2005 15:58 <REP> Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 32'944'324'608 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\NICO&KIKA\Application Data 27.12.2005 16:00 <REP> . 27.12.2005 16:00 <REP> .. 27.12.2005 22:42 <REP> ACD Systems 03.01.2006 19:57 <REP> Adobe 03.01.2006 20:58 <REP> AdobeUM 10.04.2006 18:57 <REP> aMule 03.01.2006 15:23 <REP> CyberLink 20.06.2006 07:17 <REP> FUJIFILM 04.05.2006 22:15 <REP> Google 18.05.2006 16:51 <REP> Help 09.10.2006 14:02 <REP> Hemera 27.12.2005 16:00 <REP> Identities 03.01.2006 19:57 <REP> InterTrust 04.07.2006 12:59 <REP> Lavasoft 25.12.2006 21:52 <REP> Leadertech 11.04.2006 14:22 <REP> Macromedia 17.04.2006 13:58 <REP> Media Player Classic 27.12.2005 16:00 <REP> Microsoft 27.12.2005 17:12 <REP> Mozilla 03.01.2007 13:24 <REP> NetPumper 23.06.2006 13:30 <REP> Photocolor 07.05.2006 12:02 <REP> Real 12.10.2006 19:22 <REP> Roxio 04.05.2006 22:15 <REP> Sun 20.01.2006 13:10 <REP> ubi.com 08.01.2007 19:34 <REP> Uniblue 03.01.2007 13:24 <REP> UP REAL 27.12.2005 17:31 <REP> vlc 07.01.2007 15:22 <REP> Zylom 27.12.2005 16:00 62 desktop.ini 1 fichier(s) 62 octets 29 R‚p(s) 32'944'320'512 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Documents and Settings\NICO&KIKA\Local Settings\Application Data 27.12.2005 16:00 <REP> . 27.12.2005 16:00 <REP> .. 27.12.2005 22:42 <REP> ACDSee 03.01.2006 20:35 <REP> Adobe 18.08.2006 21:59 <REP> Ahead 30.12.2005 19:40 <REP> ApplicationHistory 02.09.2006 13:08 <REP> Google 18.05.2006 16:51 <REP> Help 30.12.2005 19:40 <REP> HP 03.01.2006 15:36 <REP> IsolatedStorage 29.04.2006 23:47 <REP> Logitech-LS 27.12.2005 16:00 <REP> Microsoft 27.12.2005 22:27 <REP> Mozilla 06.11.2006 16:16 <REP> WMTools Downloaded Files 12.01.2006 00:32 24'064 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 30.12.2005 19:40 132 fusioncache.dat 27.12.2005 16:15 73'512 GDIPFONTCACHEV1.DAT 09.07.2006 22:42 1'581'056 IconCache.db 4 fichier(s) 1'678'764 octets 14 R‚p(s) 32'944'320'512 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 27.12.2005 15:57 <REP> . 27.12.2005 15:57 <REP> .. 27.12.2005 15:57 <REP> Microsoft 27.12.2005 15:57 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 32'944'320'512 octets libres Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 27.12.2005 15:57 <REP> . 27.12.2005 15:57 <REP> .. 27.12.2005 16:15 <REP> Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 32'944'320'512 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS\tasks Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\WINDOWS\Tasks 04.01.2007 16:52 272 B4B3918F94540AFB.job 27.12.2005 15:55 6 SA.DAT 27.12.2005 15:53 65 desktop.ini 27.12.2005 15:53 <REP> .. 27.12.2005 15:53 <REP> . 3 fichier(s) 343 octets 2 R‚p(s) 32'944'320'512 octets libres ****************************************** ## Répertoires de Program files Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\Program Files 08.01.2007 19:41 <REP> . 08.01.2007 19:41 <REP> .. 24.03.2003 21:24 917'504 _ISource30.dll 27.12.2005 17:05 <REP> ACD Systems 04.01.2007 12:53 <REP> Activision 08.01.2007 16:53 <REP> Ad-Aware 03.01.2006 19:57 <REP> Adobe 27.12.2005 17:10 <REP> Adobe Acrobat 08.01.2007 18:15 <REP> AGEIA Technologies 05.07.2006 21:13 <REP> AIDA32 - Personal System Information 07.01.2006 18:48 <REP> Alcohol 07.01.2006 19:40 <REP> Anti-Blaxx 03.01.2007 13:29 <REP> Anti-Leech 27.12.2005 17:47 <REP> ATI Technologies 28.12.2005 13:20 <REP> Capture 27.12.2005 17:04 <REP> Common Framework 09.10.2006 14:40 <REP> data4966 16.06.2005 12:22 1'556'480 draw4966.exe 26.08.2006 21:58 <REP> eMule 12.10.2006 19:19 <REP> Fichiers communs 05.07.2006 21:13 <REP> FinePixViewer 17.12.2006 14:47 <REP> GameSpy Arcade 29.08.2002 11:44 1'703'936 GdiPlus.dll 04.05.2006 22:37 <REP> Google 30.12.2005 19:27 <REP> Hewlett-Packard 30.12.2005 19:29 <REP> HP 03.01.2006 14:51 <REP> ImageMixer 28.12.2005 13:20 113 ImageMixer.mf 30.12.2005 19:26 <REP> Internet Explorer 04.05.2006 22:14 <REP> Java 22.02.2006 19:42 <REP> Lead Pursuit 22.02.2004 13:05 57'344 lfbmp14N.dll 22.02.2004 13:06 401'408 LFCMP14N.DLL 22.02.2004 13:08 65'536 lfeps14N.dll 23.02.2004 19:27 98'304 lffax14N.dll 22.02.2004 13:10 253'952 LFJ2K14N.dll 22.02.2004 13:10 110'592 lfjbg14N.dll 22.02.2004 13:10 53'248 lflmb14N.dll 23.02.2004 09:51 49'152 lfpcd14N.dll 22.02.2004 09:29 86'016 Lfpct14N.dll 22.02.2004 13:11 53'248 lfpcx14N.dll 22.02.2004 13:11 159'744 Lfpng14N.dll 23.02.2004 09:51 73'728 lfpsd14N.dll 22.02.2004 13:14 53'248 lftga14N.dll 22.02.2004 13:14 159'744 lftif14N.dll 19.02.2004 10:25 61'440 Lfwmf14N.dll 29.04.2006 23:44 <REP> Logitech 22.02.2004 12:57 1'695'744 LTCLR14N.dll 19.02.2004 13:13 299'008 LTDIS14N.dll 22.02.2004 12:59 282'624 ltefx14N.dll 23.02.2004 19:26 163'840 ltfil14N.DLL 22.02.2004 12:58 954'368 ltimg14N.dll 23.02.2004 09:45 475'136 ltkrn14N.dll 21.09.2005 13:37 102'400 MACtrlDll.dll 10.05.2004 13:04 114'688 mathumbs.mdb 27.12.2005 17:24 <REP> Media Player Classic 27.12.2005 16:14 <REP> Messenger 29.04.2006 13:49 <REP> MessengerPlus 19.03.2003 07:20 1'060'864 MFC71.dll 19.03.2003 06:44 61'440 MFC71FRA.DLL 08.01.2007 17:33 <REP> Micro Application 27.12.2005 15:55 <REP> microsoft frontpage 06.06.2006 13:05 <REP> Microsoft Games 05.01.2006 19:27 <REP> Microsoft Office 05.01.2006 19:25 <REP> Microsoft.NET 05.07.2006 21:13 <REP> Movie Maker 11.01.2007 21:19 <REP> Mozilla Firefox 27.12.2005 15:53 <REP> MSN 27.12.2005 15:53 <REP> MSN Gaming Zone 25.06.2006 09:05 <REP> MSN Messenger 19.03.2003 06:14 499'712 msvcp71.dll 21.02.2003 14:42 348'160 msvcr71.dll 27.12.2005 17:14 <REP> Nero 05.07.2006 21:13 <REP> NetMeeting 27.12.2005 16:17 <REP> NVIDIA Corporation 27.12.2005 16:08 <REP> Outlook Express 23.06.2006 13:21 <REP> Photocolor 09.10.2006 14:00 <REP> Plus 05.07.2006 21:13 <REP> PowerDVD 28.12.2005 13:20 32 PxDsc.dpf 05.12.2006 17:13 <REP> Q-Adresses 05.07.2006 21:13 <REP> Q-M‚nage 07.05.2006 12:02 <REP> Real 09.11.2006 21:48 <REP> Red Storm Entertainment 08.01.2007 19:43 <REP> RegistrySmart 20.06.2006 07:13 <REP> REGSHAVE 06.10.2005 16:24 4'931'584 Res_fra4966.dll 08.01.2007 16:12 <REP> Return to Castle Wolfenstein 12.10.2006 19:20 <REP> Roxio 21.09.2005 13:38 1'187'840 ScrapPerso.exe 16.12.2006 19:21 <REP> Sega 09.10.2006 14:00 <REP> Skins 17.12.2006 16:44 <REP> Spybot 09.11.2006 21:51 <REP> THQ 09.02.2006 18:42 <REP> Ubisoft 04.01.2007 16:51 <REP> UP REAL 02.09.2006 13:11 <REP> Valve 27.12.2005 17:30 <REP> VideoLAN 07.10.2006 22:56 <REP> VIRTUELSOFT 27.12.2005 16:26 <REP> VirusScan 26.10.2006 21:08 <REP> Win G‚n‚alogic 14.09.2006 12:33 <REP> Winamp 28.04.2006 17:49 <REP> Windows Media Player 27.12.2005 16:08 <REP> Windows NT 21.12.2006 20:57 <REP> WinRAR 27.12.2005 15:55 <REP> xerox 03.03.2005 15:48 2'150'400 XTP9600Lib.dll 29.09.2005 09:10 16'384 XTPResourceFr.dll 10.01.2007 19:02 <REP> Zylom Games 36 fichier(s) 20'258'961 octets 73 R‚p(s) 32'944'304'128 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow netsearchsoft.com REG_SZ www.netsearchsoft.com REG_SZ *.zylomgames.com REG_BINARY 00000000 * Mozilla Firefox (1 autorisé 2 interdit) ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Bibsafebuildroad REG_SZ C:\Documents and Settings\All Users\Application Data\Default32bibsafe\Web flaw.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] bendokay REG_SZ C:\DOCUME~1\NICO&K~1\APPLIC~1\UPREAL~1\seek dumb.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\WINDOWS Le volume dans le lecteur C s'appelle WINXP Le num‚ro de s‚rie du volume est BC40-1F92 R‚pertoire de C:\WINDOWS *************** Fin du rapport **************** |
est-ce grave ... |
Re
Quelques fichiers infectieux. Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection. Les manipulations sont à faire sans interruption et dans l'ordre. Si tu ne comprends pas quelque chose, demande des explications avant de commencer 1 Télécharge CCleaner. http://www.filehippo.com/download_ccleaner.html Installe le dans un répertoire dédié. AVG Anti-Spyware http://www.ewido.net/en/download/ Tu l'installes. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente 2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 3 Relance un scan HijackThis et coche les lignes ci-dessous : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Bibsafebuildroad] C:\Documents and Settings\All Users\Application Data\Default32bibsafe\Web flaw.exe O4 - HKCU\..\Run: [bendokay] C:\DOCUME~1\NICO&K~1\APPLIC~1\UPREAL~1\seek dumb.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\poker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\poker\PartyPoker\RunApp.exe (file missing) Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 4 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\Documents and Settings\All Users\Application Data\Default32bibsafe C:\Documents and Settings\NICO&KIKA\Application Data\UP REAL C:\Documents and Settings\All Users\Application Data\Default32bibsafe C:\WINDOWS\Tasks\B4B3918F94540AFB.job Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 6 Lance le nettoyage avec CCleaner 7 Lance AVG Anti-Spyware Clique sur le bouton Analyse (de la barre d'outils) Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine. Reviens à l'onglet Analyse. Clique sur Analyse complète du système. A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware. 8 Redémarre normalement Poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware.
|
Re
Plus d'infection visible. As tu encore des dysfonctionnements ?
|
Re
Mettre en quarantaine, c'est isoler. Il est inactif. Vide la quarantaine et il disparait complètement. |
Merci pour tes conseils
Plus de problème Salutations |
| 18/03 09h21 | iexplorer.exe | Internet | 12/05 19h54 | 14 |
| 01/03 17h27 | iexplorer.exe | Windows | 19/04 22h23 | 4 |
| 01/03 03h05 | Probleme avec iexplore.exe | Virus/Sécurité | 27/04 15h27 | 32 |
| 27/02 13h11 | Comment supprimer "iexplore.exe" ? | Virus/Sécurité | 28/02 19h11 | 28 |
| 25/02 00h44 | iexplorer.exe | Virus/Sécurité | 26/02 23h09 | 7 |
