rss
Ils ont besoin de votre aide Tous les messages sans réponse
Les règles à respecter
 Réserver un accueil cordial aux nouveaux utilisateurs.
 Poster son message dans le thème le plus approprié.
 Respecter la législation en vigueur.
 Faire usage de formule de politesse et échanger avec courtoisie.
 Ne pas poster de message à vocation commerciale.
 Rédiger les messages dans un langage clair sans abréviations, style télégraphique ou mode SMS
Le cas échéant, expliquer de manière pédagogique les règles du forum
Lire le texte complet de la charte
[MSN] infecté par un site contenant un virus
par junose
 Fil de Discussions
Statut : Résolu
lundi 12 février 2007 à 13:14:41
Bonjour ^^Marie^^
je suis junose à qui vous avez recommandé d'installer blacklight.
je vous fais part du rapport, je vous remercie d' avance

02/12/07 13:01:16 [Info]: BlackLight Engine 1.0.55 initialized
02/12/07 13:01:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/12/07 13:01:17 [Note]: 7019 4
02/12/07 13:01:17 [Note]: 7005 0
02/12/07 13:01:17 [Note]: 7006 0
02/12/07 13:01:17 [Note]: 7011 404
02/12/07 13:01:17 [Note]: 7026 0
02/12/07 13:01:17 [Note]: 7026 0
02/12/07 13:01:24 [Note]: FSRAW library version 1.7.1021
02/12/07 13:03:57 [Note]: 7007 0
Configuration: Windows XP
Internet Explorer 7.0
Répondre à junose  Signaler ce message aux modérateurs Aller au dernier message
34 réponses 12

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le mercredi 14 février 2007 à 10:37:37 Fil de Discussions
Salut

Quels soucis as tu?

A+ "J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le jeudi 15 février 2007 à 13:56:29 Fil de Discussions
Bonjour,
mon msn est affecté d' un virus provenant du site www.koolepages.com
j' ai essaié de desintaller msn et puis reinstaller mais sans succès.
^^Marie^^ m' a proposé d' installer blackligt, je le fais et le rapport est le suivant:
02/12/07 13:01:16 [Info]: BlackLight Engine 1.0.55 initialized
02/12/07 13:01:16 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/12/07 13:01:17 [Note]: 7019 4
02/12/07 13:01:17 [Note]: 7005 0
02/12/07 13:01:17 [Note]: 7006 0
02/12/07 13:01:17 [Note]: 7011 404
02/12/07 13:01:17 [Note]: 7026 0
02/12/07 13:01:17 [Note]: 7026 0
02/12/07 13:01:24 [Note]: FSRAW library version 1.7.1021
02/12/07 13:03:57 [Note]: 7007 0

je vous remercie d' avance
   
Répondre à junose

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le jeudi 15 février 2007 à 19:30:53 Fil de Discussions
Salut,

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

"J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le vendredi 16 février 2007 à 15:50:09 Fil de Discussions
salut Regis59,

j' ai enresgistré hijackthis sur le bureau mais je ne sais comment le dézipper. si tu peux m' aider à le faire.merci d' avance
   
Répondre à junose

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le vendredi 16 février 2007 à 17:03:42 Fil de Discussions
Salut

Clik droit dessu et choisis extraire tout.

A+ "J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le samedi 17 février 2007 à 21:22:04 Fil de Discussions
Bonsoir regis59,

je vous envoie le rapport de hijackthis, merci d' avance pour votre aide.

Logfile of HijackThis v1.99.1
Scan saved at 20:51:12, on 17/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\MMTray.exe
C:\WINDOWS\system32\MMTray2k.exe
C:\WINDOWS\system32\MMTrayLSI.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\icpldrvx.exe
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Skype\Phone\Skype.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\WebCallDirect.com\WebCallDirect\WebCallDirect.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe" /lang FR
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Msconfig] C:\WINDOWS\system32\icpldrvx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FileGrimCashChin] C:\Documents and Settings\All Users\Application Data\grid wma file grim\TIME EACH.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MediaDICO9Ut] C:\Program Files\Micro Application\9 Dictionnaires Utiles\LanceMediaDICO9Ut.exe Lancement
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WebCallDirect] "C:\Program Files\WebCallDirect.com\WebCallDirect\WebCallDirect.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Wma cdrom] C:\DOCUME~1\paguy\APPLIC~1\SHOWMA~1\InternetNameExit.exe
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: CD du logiciel supplémentaire.lnk = E:\setup.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
   
Répondre à junose

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le lundi 19 février 2007 à 20:57:44 Fil de Discussions
Salut,

Télécharge LopxpMH sur ton Bureau.

http://perso.numericable.fr/~altshift/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir

a+ "J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le lundi 19 février 2007 à 21:31:39 Fil de Discussions
Bonsoir Regis9,
je vous envoie le rapport.merci

Rapport fait à 21:26:28,00 le lun. 19/02/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\All Users\Application Data

07/12/2004 07:19 <REP> .
07/12/2004 07:19 <REP> ..
24/04/2006 22:24 <REP> 4D
07/12/2004 07:27 <REP> Adobe
08/02/2007 21:36 <REP> grid wma file grim
07/12/2004 07:19 <REP> Microsoft
07/12/2004 06:34 <REP> SBSI
12/09/2006 17:13 <REP> Skype
09/02/2007 22:39 <REP> Spybot - Search & Destroy
07/12/2004 07:35 <REP> Symantec
07/08/2006 10:39 <REP> Windows Genuine Advantage
27/11/2006 22:47 <REP> yahoo!
04/12/2006 23:35 <REP> Yahoo! Companion
12/02/2007 21:52 3.120 118300.34
07/12/2004 07:20 62 desktop.ini
2 fichier(s) 3.182 octets
13 R‚p(s) 7.894.118.400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\Default User\Application Data

07/12/2004 07:19 <REP> .
07/12/2004 07:19 <REP> ..
08/07/2005 15:58 <REP> Adobe
08/07/2005 15:58 <REP> AdobeUM
08/07/2005 15:58 <REP> Identities
07/12/2004 07:19 <REP> Microsoft
08/07/2005 15:58 <REP> Sun
08/07/2005 15:58 <REP> Symantec
08/07/2005 15:58 <REP> toshiba
07/12/2004 07:20 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 7.894.106.112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

07/12/2004 07:20 <REP> .
07/12/2004 07:20 <REP> ..
08/07/2005 15:58 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
08/07/2005 15:58 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
07/12/2004 06:28 <REP> Microsoft
08/07/2005 15:58 4.287.648 IconCache.db
1 fichier(s) 4.287.648 octets
5 R‚p(s) 7.894.106.112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\invite\Application Data

16/07/2005 22:52 <REP> .
16/07/2005 22:52 <REP> ..
16/07/2005 22:52 <REP> Adobe
16/07/2005 22:52 <REP> AdobeUM
16/07/2005 22:52 <REP> Identities
03/12/2005 13:37 <REP> InterTrust
16/07/2005 23:04 <REP> InterVideo
30/08/2006 17:19 <REP> Macromedia
16/07/2005 22:52 <REP> Microsoft
12/12/2006 21:19 <REP> Mozilla
20/10/2005 18:49 <REP> Real
16/07/2005 23:03 <REP> Sonic
16/07/2005 22:52 <REP> Sun
16/07/2005 22:52 <REP> Symantec
12/12/2006 21:21 <REP> Talkback
16/07/2005 22:52 <REP> toshiba
16/07/2005 22:52 62 desktop.ini
1 fichier(s) 62 octets
16 R‚p(s) 7.894.106.112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\invite\Local Settings\Application Data

16/07/2005 22:52 <REP> .
16/07/2005 22:52 <REP> ..
16/07/2005 22:52 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
16/07/2005 22:52 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
02/10/2005 11:36 <REP> Identities
16/07/2005 22:52 <REP> Microsoft
12/12/2006 21:20 <REP> Mozilla
23/10/2006 00:08 <REP> WMTools Downloaded Files
16/07/2005 23:02 63.600 GDIPFONTCACHEV1.DAT
16/07/2005 22:52 5.363.624 IconCache.db
2 fichier(s) 5.427.224 octets
8 R‚p(s) 7.894.102.016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

07/12/2004 06:32 <REP> .
07/12/2004 06:32 <REP> ..
07/12/2004 06:32 <REP> Microsoft
11/02/2007 19:41 <REP> Webroot
0 fichier(s) 0 octets
4 R‚p(s) 7.894.102.016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

07/12/2004 06:32 <REP> .
07/12/2004 06:32 <REP> ..
07/12/2004 06:32 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7.894.102.016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

07/12/2004 06:32 <REP> .
07/12/2004 06:32 <REP> ..
07/12/2004 06:32 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7.894.102.016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

07/12/2004 06:32 <REP> .
07/12/2004 06:32 <REP> ..
07/12/2004 06:32 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 7.894.102.016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\paguy\Application Data

08/07/2005 16:00 <REP> .
08/07/2005 16:00 <REP> ..
08/07/2005 16:00 <REP> Adobe
08/07/2005 16:00 <REP> AdobeUM
13/04/2006 19:15 <REP> Ahead
24/07/2005 13:25 <REP> Help
08/07/2005 16:00 <REP> Identities
13/01/2007 01:08 <REP> InstallShield
08/07/2005 18:01 <REP> InterVideo
17/07/2005 22:07 <REP> Macromedia
08/07/2005 16:00 <REP> Microsoft
12/12/2006 23:35 <REP> Mozilla
04/04/2006 20:11 <REP> MSNInstaller
02/04/2006 21:36 <REP> NetAppel
18/10/2005 23:14 <REP> Real
08/02/2007 21:35 <REP> Show Math
12/09/2006 17:13 <REP> Skype
24/07/2005 15:42 <REP> Sonic
08/07/2005 16:00 <REP> Sun
08/07/2005 16:00 <REP> Symantec
12/12/2006 23:36 <REP> Talkback
08/07/2005 16:00 <REP> toshiba
25/01/2007 18:03 <REP> VoipStunt
12/01/2007 23:12 <REP> WebCallDirect
27/11/2006 22:53 <REP> yahoo!
08/07/2005 16:00 62 desktop.ini
1 fichier(s) 62 octets
25 R‚p(s) 7.894.102.016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\paguy\Local Settings\Application Data

08/07/2005 16:00 <REP> .
08/07/2005 16:00 <REP> ..
08/07/2005 16:00 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
08/07/2005 16:00 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
31/01/2006 20:45 <REP> Ahead
17/07/2005 01:02 <REP> Help
31/10/2005 22:29 <REP> Identities
08/07/2005 16:00 <REP> Microsoft
12/12/2006 23:35 <REP> Mozilla
04/04/2006 22:42 <REP> WMTools Downloaded Files
24/07/2005 02:40 16.896 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08/07/2005 16:11 66.272 GDIPFONTCACHEV1.DAT
19/10/2005 23:58 2.639.526 IconCache.db
3 fichier(s) 2.722.694 octets
10 R‚p(s) 7.894.097.920 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

07/12/2004 06:31 <REP> .
07/12/2004 06:31 <REP> ..
08/07/2005 15:58 <REP> Adobe
08/07/2005 15:58 <REP> AdobeUM
08/07/2005 15:58 <REP> Identities
07/12/2004 06:31 <REP> Microsoft
08/07/2005 15:58 <REP> Sun
08/07/2005 15:58 <REP> Symantec
08/07/2005 15:58 <REP> toshiba
07/12/2004 06:31 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 7.894.097.920 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

07/12/2004 06:31 <REP> .
07/12/2004 06:31 <REP> ..
08/07/2005 15:58 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
08/07/2005 15:58 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
07/12/2004 06:31 <REP> Microsoft
08/07/2005 15:58 4.287.648 IconCache.db
1 fichier(s) 4.287.648 octets
5 R‚p(s) 7.894.097.920 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\WINDOWS\Tasks

08/02/2007 21:37 264 A76EDBCC919952E8.job
08/07/2005 15:58 258 Rappel d'enregistrement 1.job
07/12/2004 06:32 6 SA.DAT
07/12/2004 06:26 <REP> ..
07/12/2004 06:26 <REP> .
07/12/2004 06:12 65 desktop.ini
4 fichier(s) 593 octets
2 R‚p(s) 7.894.097.920 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Program Files

15/02/2007 13:43 <REP> .
15/02/2007 13:43 <REP> ..
23/07/2005 14:49 <REP> ACE Mega CoDecS Pack
03/12/2005 13:37 <REP> Adobe
31/01/2006 20:43 <REP> Ahead
31/03/2006 19:10 <REP> Alwil Software
21/05/2006 14:40 <REP> Audacity
31/01/2007 12:30 <REP> Bible
07/12/2004 06:26 <REP> ComPlus Applications
07/12/2004 07:14 <REP> CONEXANT
17/07/2005 00:47 <REP> Dactylo
11/05/2006 23:13 <REP> DIFX
02/08/2006 12:46 <REP> Feuvert
31/03/2006 19:00 <REP> Fichiers communs
04/06/2006 20:46 <REP> Foreignword
15/02/2007 22:54 <REP> Google
12/01/2007 21:26 <REP> Hercules
11/02/2007 19:48 <REP> Hitman Pro
07/12/2004 07:19 <REP> INPROCOMM
07/12/2004 06:49 <REP> Intel
18/02/2007 13:57 <REP> Internet Explorer
07/12/2004 07:30 <REP> InterVideo
08/02/2005 12:04 <REP> Java
17/07/2005 22:14 <REP> Messenger
29/04/2006 18:51 <REP> Micro Application
07/12/2004 06:29 <REP> microsoft frontpage
17/07/2005 23:00 <REP> Microsoft Office
29/04/2006 18:55 <REP> Microsoft R‚f‚rence
17/07/2005 23:00 <REP> Microsoft Visual Studio
17/07/2005 23:00 <REP> Microsoft Works
07/12/2004 07:33 <REP> Microsoft.NET
04/02/2007 22:43 <REP> M-MACBETH
07/12/2004 06:26 <REP> Movie Maker
11/02/2007 20:23 <REP> Mozilla Firefox
04/04/2006 20:11 <REP> MSN
07/12/2004 06:25 <REP> MSN Gaming Zone
08/02/2007 22:36 <REP> MSN Messenger
07/12/2004 06:26 <REP> NetMeeting
07/12/2004 06:25 <REP> Online Services
16/12/2006 01:00 <REP> Outlook Express
18/10/2005 23:15 <REP> Real
07/12/2004 06:27 <REP> Services en ligne
08/02/2007 21:35 <REP> Show Math
12/09/2006 17:13 <REP> Skype
24/07/2005 16:00 <REP> SlySoft
08/07/2005 17:47 <REP> Sonic
11/02/2007 19:33 <REP> Spybot - Search & Destroy
07/12/2004 07:08 <REP> Synaptics
08/02/2005 12:03 <REP> Toshiba
27/02/2006 00:14 <REP> wattack
28/01/2007 18:32 <REP> WebCallDirect.com
11/02/2007 21:01 <REP> Windows Live Safety Center
01/04/2006 02:42 <REP> Windows Media Player
07/12/2004 06:25 <REP> Windows NT
24/07/2005 15:59 <REP> WinRAR
07/12/2004 06:29 <REP> xerox
29/11/2006 11:51 <REP> Yahoo!
0 fichier(s) 0 octets
57 R‚p(s) 7.894.093.824 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FileGrimCashChin REG_SZ C:\Documents and Settings\All Users\Application Data\grid wma file grim\TIME EACH.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MediaDICO9Ut REG_SZ C:\Program Files\Micro Application\9 Dictionnaires Utiles\LanceMediaDICO9Ut.exe Lancement
Wma cdrom REG_SZ C:\DOCUME~1\paguy\APPLIC~1\SHOWMA~1\InternetNameExit.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
   
Répondre à junose

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le lundi 19 février 2007 à 22:06:28 Fil de Discussions
Bonjour,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

et ceci:

Télécharge Banker_BanloadFix.zip d'un de ces 2 sites http://cfasi.net/download/Banker_BanloadFix.zip
http://www.sosvirus.changelog.fr/Banker_BanloadFix.zip
- Mets le sur ton bureau et décompresse le

Déconnecte toi d'Internet et ferme tout les programmes en cours.

Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Msconfig] C:\WINDOWS\system32\icpldrvx.exe

O4 - HKLM\..\Run: [FileGrimCashChin] C:\Documents and Settings\All Users\Application Data\grid wma file grim\TIME EACH.exe

O4 - HKCU\..\Run: [Wma cdrom] C:\DOCUME~1\paguy\APPLIC~1\SHOWMA~1\InternetNameExit.exe

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\All Users\Application Data\grid wma file grim

C:\Documents and Settings\paguy\Application Data\Show Math

C:\Program Files\Show Math


-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\A76EDBCC919952E8.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance le en double cliquant sur le fichier Banker_BanloadFix.bat
- Choisis l'option S puis valide avec la touche [entrée]

-- Si l'infection est trouvée (le message le confirmera)
---- Choisis l'option N puis valide avec la touche [entrée]
---- Le rapport s'affichera , enregistre le de façon à le retrouver facilement et fais un copier coller dans ta prochaine réponse

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Exécute cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

Précises moi ou en sont tes soucis…

A+

PS: Si tu perds ton style XP:

Pour récupérer ton style xp :
télécharge ceci et décompresse le
http://pageperso.aol.fr/Balltrap34/luna.zip

ensuite met le dans C:\WINDOWS\Resources\Themes\Luna
et double clic dessus

Ensuite réessaye de remettre le style xp
"J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le jeudi 22 février 2007 à 14:44:57 Fil de Discussions
Salut regis59,
j' ai suivi la manipulation et j' ai été bloqué au niveua ou je devais taper del/a C: \windows\task\A76EDBCC919952E8.job
le message me dit que c' est un ficher introuvable.
mais sinon le reste ça semblé aller.
voici le rapport, je vous remercie d' avance.

Banker/Banload-Fix 1.0

Fix exécuté le jeu. 22/02/2007 - 14:24:46,70
mode sans échec

************************ Recherche les fichiers

C:\WINDOWS\system32\icpldrvx.exe Présent !!!
C:\WINDOWS\system32\service\navupdt2.exe Absent
C:\WINDOWS\system32\service\services.exe Absent
C:\WINDOWS\system32\icpldrvx.js Absent
C:\WINDOWS\rqqsnd.exe Absent
C:\WINDOWS\system32\dllvirtual.exe Absent
C:\WINDOWS\system32\dllvirtual.dll Absent
C:\WINDOWS\system32\dllvirtual.js Absent
C:\WINDOWS\ying.exe Absent
C:\Arquivos de programas\GbpSvc.exe Absent
C:\Arquivos de programas\Wm2emt.exe Absent
C:\WINDOWS\Cursors\GbpSvc.exe Absent
C:\WINDOWS\Cursors\yong.exe Absent

************************ Recherche les dossiers

C:\WINDOWS\system32\service Absent


************************ Suppression des fichiers

suppression de C:\WINDOWS\system32\icpldrvx.exe

************************ Suppression des dossiers

************************ Nettoyage du registre
Nettoyage terminé
   
Répondre à junose

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le jeudi 22 février 2007 à 18:30:49 Fil de Discussions
Salut

Remet un hijack this

A+ "J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le vendredi 23 février 2007 à 15:28:39 Fil de Discussions
Salut Regis59,
Je suis vraiment content de t' informer que le virus a été supprimé de mon pc et puis les puplicités intempestives aussi ont été supprimées, maintenant je peux travailler su mon pc sans probleme.
je te remercie beaucoup pour votre génie du savoir et sur tout pour votre aide.
concernant les logiciels que j' ai téléchargé, faut il que je les garde toujours sur mon bureau ou bien les supprimer?
j' ai toujours hijack this , clean up40 et puis Banker.à +
   
Répondre à junose

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le vendredi 23 février 2007 à 15:33:46 Fil de Discussions
Salut

Je suis content d apprendre que tout est réglé.
Ce fut un plaisir de t aider. Quand des personnes sont aussi sympathiques que toi, c est un réel plaisir de vous aider !

Supprime:
clean up40
Banker
Black light

Garde hijack this, si tu as d autres soucis a l avenir, il serviera.

a+ "J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le samedi 24 février 2007 à 17:17:00 Fil de Discussions
Salut Regis59,
je voulais savoir si c' est toujours important d' effectuer la tache que tu m' avais recommandé : demarrer puis executer puis taper cmd.
voici le message qui apparait
C:\Documents and Settings\paguy
donc j' avais essayé de taper et copier del /aC:\WINDOWS\tasks\A76EDBCC919952E8.job sur le message ci dessus mais on me dit que le ficher est introuvable.
j' ai toujour hijack this
merci
   
Répondre à junose

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par Regis59, le samedi 24 février 2007 à 17:21:56 Fil de Discussions
Salut

Pourquoi veux tu le réexecuter?

Remet moi un lopxp pour que je verifie

a+ "J'avais rêvé d'un monde meilleur...Sans différence de couleurS...Egalité..."-MLK-
   
Répondre à Regis59

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par junose, le lundi 26 février 2007 à 09:44:31 Fil de Discussions
salut Regis59,
au fait je ne veux pas réexecuter mais juste avoir votre avis sur cette tâche car ce fut la seule tâche dont je n' arrivais pas à faire.
mais sinon je n' ai aucun problème, tout est reglé.
je vous renvoie le lopxp, merci.
Rapport fait à 21:26:28,00 le lun. 19/02/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\All Users\Application Data

07/12/2004 07:19 <REP> .
07/12/2004 07:19 <REP> ..
24/04/2006 22:24 <REP> 4D
07/12/2004 07:27 <REP> Adobe
08/02/2007 21:36 <REP> grid wma file grim
07/12/2004 07:19 <REP> Microsoft
07/12/2004 06:34 <REP> SBSI
12/09/2006 17:13 <REP> Skype
09/02/2007 22:39 <REP> Spybot - Search & Destroy
07/12/2004 07:35 <REP> Symantec
07/08/2006 10:39 <REP> Windows Genuine Advantage
27/11/2006 22:47 <REP> yahoo!
04/12/2006 23:35 <REP> Yahoo! Companion
12/02/2007 21:52 3.120 118300.34
07/12/2004 07:20 62 desktop.ini
2 fichier(s) 3.182 octets
13 R‚p(s) 7.894.118.400 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\Default User\Application Data

07/12/2004 07:19 <REP> .
07/12/2004 07:19 <REP> ..
08/07/2005 15:58 <REP> Adobe
08/07/2005 15:58 <REP> AdobeUM
08/07/2005 15:58 <REP> Identities
07/12/2004 07:19 <REP> Microsoft
08/07/2005 15:58 <REP> Sun
08/07/2005 15:58 <REP> Symantec
08/07/2005 15:58 <REP> toshiba
07/12/2004 07:20 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 7.894.106.112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

07/12/2004 07:20 <REP> .
07/12/2004 07:20 <REP> ..
08/07/2005 15:58 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
08/07/2005 15:58 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
07/12/2004 06:28 <REP> Microsoft
08/07/2005 15:58 4.287.648 IconCache.db
1 fichier(s) 4.287.648 octets
5 R‚p(s) 7.894.106.112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\invite\Application Data

16/07/2005 22:52 <REP> .
16/07/2005 22:52 <REP> ..
16/07/2005 22:52 <REP> Adobe
16/07/2005 22:52 <REP> AdobeUM
16/07/2005 22:52 <REP> Identities
03/12/2005 13:37 <REP> InterTrust
16/07/2005 23:04 <REP> InterVideo
30/08/2006 17:19 <REP> Macromedia
16/07/2005 22:52 <REP> Microsoft
12/12/2006 21:19 <REP> Mozilla
20/10/2005 18:49 <REP> Real
16/07/2005 23:03 <REP> Sonic
16/07/2005 22:52 <REP> Sun
16/07/2005 22:52 <REP> Symantec
12/12/2006 21:21 <REP> Talkback
16/07/2005 22:52 <REP> toshiba
16/07/2005 22:52 62 desktop.ini
1 fichier(s) 62 octets
16 R‚p(s) 7.894.106.112 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 00A6-B919

R‚pertoire de C:\Documents and Settings\invite\Local Settings\Application Data

16/07/2005 22:52 <REP> .
16/07/2005