[Pop-up] Infecté par le pop-up CiD [Résolu]

Bonjour,

Commence par ceci stp :

Télécharge lopxp

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip


dezippe le (clic droit dessus > extraire tout)
et lance lopxpmh.bat en double-cliquant dessus
quand il à terminé, un rapport s'ouvre , copie et colle le contenu dans ta réponse.

Télécharge HijackThis ici:
http://www.01net.com/...

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

@+

Scan lop :

Rapport fait à 16:54:02,56 le 21/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

29/07/2006 11:47 <REP> .
29/07/2006 11:47 <REP> ..
29/07/2006 19:56 <REP> Adobe
29/07/2006 20:16 <REP> Ahead
29/07/2006 11:47 <REP> Identities
29/07/2006 19:56 <REP> InterTrust
29/07/2006 11:47 <REP> Microsoft
29/07/2006 11:47 62 desktop.ini
1 fichier(s) 62 octets
7 R‚p(s) 127ÿ872ÿ376ÿ832 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

29/07/2006 11:47 <REP> .
29/07/2006 11:47 <REP> ..
29/07/2006 20:21 <REP> Ahead
29/07/2006 17:01 <REP> Google
29/07/2006 11:47 <REP> Microsoft
29/07/2006 17:02 14ÿ848 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
29/07/2006 18:44 17ÿ920 GDIPFONTCACHEV1.DAT
29/07/2006 11:55 4ÿ290ÿ130 IconCache.db
3 fichier(s) 4ÿ322ÿ898 octets
5 R‚p(s) 127ÿ872ÿ372ÿ736 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\All Users\Application Data

29/07/2006 12:29 <REP> .
29/07/2006 12:29 <REP> ..
10/02/2007 10:26 <REP> Adobe
13/11/2006 19:16 <REP> Ahead
21/08/2006 08:29 <REP> Apple Computer
23/08/2006 17:44 <REP> BOONTY
16/02/2007 15:43 <REP> Cityeggsbalmgrey
20/01/2007 20:56 <REP> CyberLink
05/08/2006 09:51 <REP> DVD Shrink
15/11/2006 14:29 <REP> Google
28/01/2007 13:17 <REP> HP
29/07/2006 12:29 <REP> Microsoft
31/01/2007 14:36 <REP> Microsoft Corporation
28/08/2006 18:45 <REP> MSN6
15/11/2006 15:06 <REP> Spybot - Search & Destroy
20/08/2006 14:10 <REP> Symantec
18/03/2007 14:41 <REP> TEMP
06/08/2006 14:03 <REP> UDL
04/02/2007 10:43 <REP> Ulead Systems
06/01/2007 14:16 <REP> VCOM
25/08/2006 07:36 <REP> Windows Genuine Advantage
17/12/2006 10:44 <REP> Windows Live Toolbar
27/02/2007 19:05 <REP> Yahoo! Companion
29/07/2006 12:29 62 desktop.ini
28/01/2007 12:54 2ÿ361 hpzinstall.log
20/09/2006 15:45 1ÿ759 QTSBandwidthCache
3 fichier(s) 4ÿ182 octets
23 R‚p(s) 127ÿ872ÿ372ÿ736 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Baptiste Benture\Application Data

07/01/2007 16:54 <REP> .
07/01/2007 16:54 <REP> ..
10/02/2007 14:09 <REP> Adobe
10/02/2007 14:10 <REP> AdobeUM
19/01/2007 19:10 <REP> Apple Computer
10/02/2007 10:56 <REP> ArcSoft
31/01/2007 15:29 <REP> DivX
10/02/2007 10:11 <REP> Google
07/01/2007 18:04 <REP> hidires
03/02/2007 16:01 <REP> HP
07/01/2007 16:55 <REP> Identities
04/03/2007 10:05 <REP> iWin
10/02/2007 10:14 <REP> Lavasoft
16/02/2007 15:43 <REP> LITE LOG REF
07/01/2007 16:59 <REP> Macromedia
07/01/2007 16:54 <REP> Microsoft
07/01/2007 19:00 <REP> Mozilla
10/02/2007 14:24 <REP> Nvu
13/02/2007 10:17 <REP> Snapfish
07/03/2007 15:06 <REP> STOIK
12/01/2007 19:31 <REP> Sun
07/01/2007 19:00 <REP> Talkback
06/02/2007 14:27 <REP> Ulead Systems
07/01/2007 18:10 <REP> Yahoo!
07/01/2007 16:54 62 desktop.ini
1 fichier(s) 62 octets
24 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Baptiste Benture\Local Settings\Application Data

07/01/2007 16:54 <REP> .
07/01/2007 16:54 <REP> ..
10/02/2007 14:09 <REP> Adobe
02/03/2007 19:32 <REP> Apple Computer
19/01/2007 18:39 <REP> ApplicationHistory
31/01/2007 15:50 <REP> Google
10/01/2007 16:30 <REP> Identities
07/01/2007 16:54 <REP> Microsoft
07/01/2007 19:00 <REP> Mozilla
04/03/2007 09:30 <REP> SimsStart
04/03/2007 09:30 <REP> SimsWeather
27/01/2007 22:36 <REP> WMTools Downloaded Files
31/01/2007 16:43 25ÿ088 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
19/01/2007 18:39 139 fusioncache.dat
28/01/2007 16:12 38ÿ960 GDIPFONTCACHEV1.DAT
17/01/2007 16:44 4ÿ814ÿ706 IconCache.db
4 fichier(s) 4ÿ878ÿ893 octets
12 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Default User\Application Data

29/07/2006 12:29 <REP> .
29/07/2006 12:29 <REP> ..
29/07/2006 12:29 <REP> Microsoft
29/07/2006 12:29 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

29/07/2006 12:29 <REP> .
29/07/2006 12:29 <REP> ..
0 fichier(s) 0 octets
2 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Habbohotel

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

17/01/2007 18:39 <REP> .
17/01/2007 18:39 <REP> ..
17/01/2007 18:40 <REP> Identities
20/01/2007 20:38 <REP> Macromedia
17/01/2007 18:39 <REP> Microsoft
17/01/2007 18:40 <REP> Mozilla
17/01/2007 18:40 <REP> Talkback
17/01/2007 18:39 62 desktop.ini
1 fichier(s) 62 octets
7 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Invit‚\Local Settings\Application Data

17/01/2007 18:39 <REP> .
17/01/2007 18:39 <REP> ..
17/01/2007 18:39 <REP> Microsoft
17/01/2007 18:40 <REP> Mozilla
17/01/2007 18:43 3ÿ796ÿ918 IconCache.db
1 fichier(s) 3ÿ796ÿ918 octets
4 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

29/07/2006 11:46 <REP> .
29/07/2006 11:46 <REP> ..
29/07/2006 11:46 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 127ÿ872ÿ368ÿ640 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

29/07/2006 11:46 <REP> .
29/07/2006 11:46 <REP> ..
29/07/2006 11:46 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 127ÿ872ÿ364ÿ544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Manon Benture

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Naruto\Application Data

09/03/2007 18:01 <REP> .
09/03/2007 18:01 <REP> ..
10/03/2007 21:00 <REP> Adobe
10/03/2007 21:01 <REP> AdobeUM
18/03/2007 17:18 <REP> Apple Computer
11/03/2007 11:23 <REP> DeskSoft
09/03/2007 18:06 <REP> Google
09/03/2007 18:03 <REP> Help
09/03/2007 18:01 <REP> Identities
09/03/2007 18:06 <REP> Macromedia
09/03/2007 18:01 <REP> Microsoft
09/03/2007 21:54 <REP> Mozilla
16/03/2007 19:07 <REP> Real
14/03/2007 16:02 <REP> Sun
09/03/2007 21:54 <REP> Talkback
09/03/2007 18:01 62 desktop.ini
11/03/2007 17:30 156 RobotProgPrefs
2 fichier(s) 218 octets
15 R‚p(s) 127ÿ872ÿ364ÿ544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Naruto\Local Settings\Application Data

09/03/2007 18:01 <REP> .
09/03/2007 18:01 <REP> ..
10/03/2007 21:00 <REP> Adobe
11/03/2007 10:59 <REP> Apple Computer
09/03/2007 18:06 <REP> Google
09/03/2007 18:03 <REP> Help
18/03/2007 10:07 <REP> Identities
09/03/2007 18:01 <REP> Microsoft
09/03/2007 21:54 <REP> Mozilla
09/03/2007 18:47 6ÿ144 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
09/03/2007 18:01 38ÿ960 GDIPFONTCACHEV1.DAT
18/03/2007 19:13 4ÿ254ÿ270 IconCache.db
3 fichier(s) 4ÿ299ÿ374 octets
9 R‚p(s) 127ÿ872ÿ364ÿ544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Nathalie Benture\Application Data

19/08/2006 12:07 <REP> .
19/08/2006 12:07 <REP> ..
22/08/2006 17:00 <REP> Adobe
10/02/2007 17:53 <REP> AdobeUM
26/08/2006 10:32 <REP> Apple Computer
25/02/2007 12:12 <REP> DivX
10/02/2007 17:47 <REP> Google
26/08/2006 09:27 <REP> Help
06/01/2007 09:33 <REP> hidires
04/02/2007 09:13 <REP> HP
19/08/2006 12:08 <REP> Identities
19/08/2006 12:10 <REP> Macromedia
19/08/2006 12:07 <REP> Microsoft
30/10/2006 08:42 <REP> Mozilla
17/03/2007 09:12 <REP> Real
18/12/2006 13:55 <REP> Sun
26/12/2006 10:48 <REP> Talkback
04/02/2007 10:45 <REP> Ulead Systems
13/01/2007 19:01 <REP> VCOM
10/01/2007 19:13 <REP> Yahoo!
19/08/2006 12:07 62 desktop.ini
1 fichier(s) 62 octets
20 R‚p(s) 127ÿ872ÿ364ÿ544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Nathalie Benture\Local Settings\Application Data

19/08/2006 12:07 <REP> .
19/08/2006 12:07 <REP> ..
10/02/2007 17:52 <REP> Adobe
26/08/2006 10:30 <REP> Apple Computer
09/09/2006 09:35 <REP> Google
26/08/2006 09:27 <REP> Help
21/08/2006 18:39 <REP> Identities
19/08/2006 12:07 <REP> Microsoft
30/10/2006 08:42 <REP> Mozilla
19/08/2006 12:07 42ÿ944 GDIPFONTCACHEV1.DAT
19/08/2006 12:35 4ÿ289ÿ972 IconCache.db
2 fichier(s) 4ÿ332ÿ916 octets
9 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

29/07/2006 11:46 <REP> .
29/07/2006 11:46 <REP> ..
24/09/2006 07:52 <REP> Macromedia
29/07/2006 11:46 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

29/07/2006 11:46 <REP> .
29/07/2006 11:46 <REP> ..
29/07/2006 11:46 <REP> Microsoft
19/11/2006 07:47 <REP> PCHealth
0 fichier(s) 0 octets
4 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Documents and Settings\Session sans bug\Application Data

08/12/2006 19:05 <REP> .
08/12/2006 19:05 <REP> ..
04/01/2007 16:30 <REP> hidires
0 fichier(s) 0 octets
3 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

29/07/2006 11:41 <REP> .
29/07/2006 11:41 <REP> ..
29/07/2006 11:41 <REP> Microsoft
29/07/2006 11:41 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

29/07/2006 11:41 <REP> .
29/07/2006 11:41 <REP> ..
29/07/2006 18:43 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\WINDOWS\Tasks

18/03/2007 17:13 284 AppleSoftwareUpdate.job
02/03/2007 19:47 330 MP Scheduled Scan.job
01/03/2007 18:03 284 A9981EED91DB9175.job
29/07/2006 11:37 6 SA.DAT
29/07/2006 11:36 65 desktop.ini
29/07/2006 11:36 <REP> ..
29/07/2006 11:36 <REP> .
5 fichier(s) 969 octets
2 R‚p(s) 127ÿ872ÿ360ÿ448 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94FB-BE28

R‚pertoire de C:\Program Files

19/03/2007 17:15 <REP> .
19/03/2007 17:15 <REP> ..
10/02/2007 10:22 <REP> Adobe
11/03/2007 11:16 <REP> AGD
13/11/2006 19:20 <REP> Ahead
09/09/2006 17:46 <REP> Alcohol Soft
01/03/2007 18:07 <REP> Alwil Software
27/02/2007 18:37 <REP> Antipub
03/02/2007 14:37 <REP> AnvSoft
18/03/2007 17:13 <REP> Apple Software Update
21/03/2007 13:29 <REP> Arovax AntiSpyware
24/10/2006 18:50 <REP> awf
24/12/2006 13:17 <REP> BenQ
12/11/2006 15:54 <REP> BitTorrent
18/03/2007 11:15 <REP> Boilsoft ASF Converter
13/01/2007 18:19 <REP> Boonty
04/03/2007 10:05 <REP> BoontyGames
10/03/2007 16:11 <REP> Bullfrog
25/12/2006 18:09 <REP> Canon
27/02/2007 18:45 <REP> CCleaner
15/02/2007 11:46 <REP> CinemaForge
27/02/2007 18:30 <REP> CleanUp!
31/01/2007 14:45 <REP> Common Files
29/07/2006 11:35 <REP> ComPlus Applications
04/02/2007 10:34 <REP> Corel
21/01/2007 16:51 <REP> CyberLink
17/03/2007 17:49 <REP> DivX
09/09/2006 09:30 <REP> DVD Shrink
17/03/2007 18:15 <REP> EA GAMES
17/03/2007 14:51 <REP> Electronic Arts
23/02/2007 20:07 <REP> eMule
31/01/2007 19:06 <REP> EPSON
09/12/2006 06:08 <REP> ESET
18/03/2007 14:50 <REP> Fichiers communs
26/09/2006 18:34 <REP> finder
18/03/2007 13:13 <REP> Google
28/01/2007 13:14 <REP> Hewlett-Packard
19/01/2007 18:39 <REP> HideMyIP
28/01/2007 13:16 <REP> HP
01/09/2006 10:57 <REP> InterActual
09/03/2007 18:12 <REP> Internet Explorer
31/08/2006 08:55 <REP> InterVideo
13/01/2007 10:22 <REP> Inventel
24/02/2007 10:58 <REP> iPlayer Mass Storage Driver V3.1
18/03/2007 17:17 <REP> iPod
18/03/2007 17:17 <REP> iTunes
04/11/2006 16:44 <REP> Jasc Software Inc
03/01/2007 13:23 <REP> Java
04/11/2006 17:02 <REP> JS World
10/02/2007 10:14 <REP> Lavasoft
01/03/2007 18:03 <REP> LITE LOG REF
06/01/2007 14:08 <REP> Macrogaming
20/10/2006 06:17 <REP> MagicRecovery Pro DEMO
05/01/2007 17:19 <REP> Ma‹do Production
24/01/2007 15:33 <REP> Maxis
10/09/2006 09:57 <REP> McAfee.com
20/08/2006 19:39 <REP> Messenger
25/09/2006 19:12 <REP> microsoft frontpage
30/08/2006 13:25 <REP> Microsoft Money
29/07/2006 18:36 <REP> Movie Maker
21/03/2007 16:16 <REP> Mozilla Firefox
28/08/2006 19:02 <REP> MSN
29/07/2006 11:35 <REP> MSN Gaming Zone
17/12/2006 10:31 <REP> MSN Messenger
08/12/2006 17:30 <REP> MSN Pictures Displayer
28/02/2007 21:17 <REP> MSXML 4.0
31/12/2006 16:53 <REP> Namo
13/01/2007 14:48 <REP> NaturalSoft
29/07/2006 20:15 <REP> Nero
29/07/2006 18:34 <REP> NetMeeting
05/09/2006 17:37 <REP> Norton AntiVirus
11/02/2007 10:46 <REP> Nvu
18/03/2007 14:41 <REP> orange
18/12/2006 20:00 <REP> Outlook Express
18/11/2006 17:42 <REP> PhotoFiltre Studio
15/03/2007 17:12 <REP> Picasa2
21/01/2007 16:52 <REP> Project1
18/03/2007 17:16 <REP> QuickTime
16/03/2007 19:08 <REP> Real
04/01/2007 15:50 <REP> RegCleaner
15/02/2007 13:55 <REP> Replay Converter
15/02/2007 08:58 <REP> Riva
13/01/2007 10:57 <REP> Securitoo
29/07/2006 11:37 <REP> Services en ligne
19/02/2007 15:47 <REP> Shareaza
04/03/2007 09:30 <REP> Sims Weather
09/09/2006 16:34 <REP> SlySoft
09/03/2007 19:09 <REP> SpeedNet 5.1 Trial
16/02/2007 10:14 <REP> Spybot - Search & Destroy
14/11/2006 18:24 <REP> Strategy First
05/09/2006 17:37 <REP> Symantec
04/03/2007 09:25 <REP> The Learning Company
17/03/2007 18:03 <REP> TrustIn Contextual
09/03/2007 18:14 <REP> UBISOFT
07/02/2007 08:04 <REP> Ulead Systems
06/02/2007 15:01 <REP> Ulead.dat
14/11/2006 19:10 <REP> vso
21/03/2007 13:27 <REP> Wanadoo
17/01/2007 13:40 <REP> WebCopier
18/03/2007 11:13 <REP> WinAVI Video Converter
02/03/2007 19:44 <REP> Windows Defender
31/01/2007 14:38 <REP> Windows Live Toolbar
20/08/2006 19:38 <REP> Windows Media Player
29/07/2006 18:34 <REP> Windows NT
27/01/2007 21:49 <REP> Windows XP Fun Pack
17/10/2006 16:58 <REP> Wingen
27/09/2006 16:01 <REP> WinRAR
27/09/2006 16:02 <REP> WinZip
29/07/2006 11:39 <REP> xerox
01/03/2007 18:25 <REP> Yahoo!
20/10/2006 16:14 <REP> Zone Labs
0 fichier(s) 0 octets
111 R‚p(s) 127ÿ872ÿ344ÿ064 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
toowam.france3.fr REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\NARUTO\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\6M6LBRU9.DEFAULT\HOSTPERM.1
host popup 1 www.bricedenice.com
host popup 1 www.axevice-lejeu.com
host popup 1 www.piaf-lamome.com
host popup 1 www.infos-du-net.com
host popup 2 www.playersrepublic.fr

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Balmgreysetupmapi REG_SZ C:\Documents and Settings\All Users\Application Data\Cityeggsbalmgrey\64 Online.exe

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]
command REG_SZ C:\Documents and Settings\All Users\Application Data\Cityeggsbalmgrey\Third seek.exe
command REG_SZ C:\DOCUME~1\BAPTIS~1\APPLIC~1\LITELO~1\site list ante.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************


Scan Hijack :
Logfile of HijackThis v1.99.1
Scan saved at 16:56:57, on 21/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Naruto\LOCALS~1\Temp\Rar$EX03.187\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O1 - Hosts: 68.179.10.211 www.paramagnus.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\bitsprx2s.dll
O2 - BHO: (no name) - {3C4E691E-50E0-4163-8E94-37F72E994272} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - ¨

¨

D-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - È@
497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - ø@
0D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - ˜@
49E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Balmgreysetupmapi] C:\Documents and Settings\All Users\Application Data\Cityeggsbalmgrey\64 Online.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Program Files\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download With SpeedNet - C:\PROGRA~1\SPEEDN~1.1TR\download.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/...
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.m6video.fr/1click/install/files/installer2.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {5D1E3FA5-64FF-4387-9418-F1D67AFB2247} (MaxisSuperstarTeleX Control) - http://thesims.ea.com/teleport/superstar/MaxisSuperstarTeleX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.193.138.82:81/activex/AxisCamControl.cab
O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Re,

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur escargar Elibagla 10.09
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.
@+

Re,

la suite :

ouvre Hijackthis, choisis do a scan only.

coche la case devant ces lignes :

O1 - Hosts: 68.179.10.211 www.paramagnus.com
O2 - BHO: (no name) - {3C4E691E-50E0-4163-8E94-37F72E994272} - (no file)
O2 - BHO: (no name) - ¨

¨

D-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - È@
497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - ø@
0D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - ˜@
49E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [Balmgreysetupmapi] C:\Documents and Settings\All Users\Application Data\Cityeggsbalmgrey\64 Online.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe

Ferme toutes les autres fenêtres actives et clique sur fix checked.

Ferme Hijackthis.

Prenez connaissance du contenu de ce lien:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme Black Light qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
Maintenant faites un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip (de IL-MAFIOSO)
Enregistrez la cible (du lien) sous... et enregistrez-le sur votre bureau.
Faites un clic droit sur navilog1.zip et choisissez "tout extraire"
Ensuite double cliquer sur navilog1.bat
Laissez vous guider. Au menu principal, choisissez 1 et validez.
(Ne faites pas le choix 2 sans notre avis/accord)
Patientez jusqu'au message :
*** Analyse Termine le ..... ***
Appuyez sur une touche, comme demandé, le bloc note va s'ouvrir.
Copier/coller l'intégralité dans une réponse. Refermez le bloc note.
Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Remets un log Hijackthis.

@+

Lyonnais92,
As-tu remarqué ce que deviennent ces lignes quand tu les colles dans WordPad ?

O2 - BHO: (no name) - {3C4E691E-50E0-4163-8E94-37F72E994272} - (no file)
O2 - BHO: (no name) - ¨

¨

D-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - È@
497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - ø@
0D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - ˜@
49E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

Regarde < http://img410.imageshack.us/img410/9076/screenshot276cg8.gif >


Bonne soirée
Al.



PS: ( pardon)
-C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
-C:\DOCUME~1\Naruto\LOCALS~1\Temp\Rar$EX03.187\HijackThis.exe
-O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\bitsprx2s.dll
-O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/...
-O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
-Aucun pare-feu actif n'a été trouvé sur votre système ou le pare-feu
-Au pire se débarasser du kit Wanadoo
-C:\DOCUME~1\BAPTIS~1\APPLIC~1\LITELO~1\site list ante.exe
-C:\Documents and Settings\Baptiste Benture\Application Data\LITE LOG REF
-C:\Program Files\LITE LOG REF

Nouveau scan :

Logfile of HijackThis v1.99.1
Scan saved at 19:39:05, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Program Files\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/...
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.m6video.fr/1click/install/files/installer2.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {5D1E3FA5-64FF-4387-9418-F1D67AFB2247} (MaxisSuperstarTeleX Control) - http://thesims.ea.com/teleport/superstar/MaxisSuperstarTeleX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.193.138.82:81/activex/AxisCamControl.cab
O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Bonsoir,

le rapport de elibagla (post 3) ?
@+

Tue Feb 27 19:40:59 2007
EliBagle v10.20 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\BAPTISTE BENTURE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\BAPTISTE BENTURE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.20
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Bagle Renombrado a .VIR
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Feb 27 19:41:08 2007
EliBagle v10.20 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Feb 27 20:08:57 2007
EliBagle v10.20 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MANON BENTURE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\MANON BENTURE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)

Sat Mar 24 19:30:01 2007
EliBagle v10.32 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\NATHALIE BENTURE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\NATHALIE BENTURE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\HLDRRR.EXE.VIR --> Eliminado
Restaurada Clave: "SafeBoot\Minimal y Network"

Sat Mar 24 19:30:36 2007
EliBagle v10.32 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
20070301172610.ZIP -> Bagle

Re,
merci.

Le rapport de navifix-navilog (post 4) ?

@+

Search Navipromo version 1.0.7 commencé le 25/03/2007 à 10:23:57,76

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Nathalie Benture\Bureau\navilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Nathalie Benture\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 03/25/07 at 10:24:03.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 03/25/07 at 10:31:37 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 25/03/2007 à 10:32:00,82 ***

Bonjour,

hiajckthis n'est pas placé comme indiqué dans le tuto. Il est dans un répertoire temporaire et donc peut être effacé à tout moment, ainsi que les backup.

réinstalle le comme indiqué dans le tuto du post 1 et mets un nouveau log Hijackthis.

@+

Bonsoir pandaleouf

Lyonnais est en vacances; dans ce cas, si tu veux bien fais ceci:

1°- Si tu as Vista
) Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Vas dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


2°- Redémarrer le PC en mode sans échec
TUTO: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
NOTE: Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).


3°- Double-clique sur Lop S&D pour lancer l'installation, puis choisis l'Option 2 - (Suppression +HOSTS) - et patiente jusqu'à ce qu'il ait terminé.

NOTE Si tu as Vista, peut-être faut-il faire "clic-droit", puis choisir "Exécuter en tant qu'administrateur".

Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport C:\lopR.txt


Merci
Al.