Analyse de log HijackThis ... [Résolu]

Salut !!

Ton pc est rempli d infections hotbar :s

Et que fais tu avec 3 antivirus d installés sur ton pc ??^^


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau à cette adresse :

(c est le numéro 6 en bas de la page) : http://forum-aide-contre-virus.be/divers.html


* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Je n'avais pas fait gaffe aux 3 antivirus. C'est le PC d'un pôte.

Je fais ça ce soir dès que je rentre ... et merci pour la réponse rapide.

L'analse est en cours.

Pour les 3 antivirus, tu as vu quoi à part Antivir ?

Voici le rapport :

   -----------\\  ToolBar S&D 1.1.8   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP  2800+ )
   BIOS : BIOS Date: 10/15/03 17:00:28 Ver: 08.00.08
   USER : Propriétaire ( Administrator )
   BOOT : Normal boot
   Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)

   "C:\ToolBar SD" ( MAJ : 07-09-2008|12:20 )
   Option : [1] ( 01/01/2001|21:42 )

   -----------\\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\NavExcel
   C:\Program Files\NavExcel\NavHelper
   C:\WINDOWS\iun6002.exe

   -----------\\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
   "Search Page"="http://recherche.neuf.fr/"
   "Default_Page_URL"="http://qfr9.hpwis.com/"
   "Default_Search_URL"="http://srch-qfr9.hpwis.com/"
   "Search Bar"="http://recherche.neuf.fr/ie/default.html"
   "SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
   "Start Page"="http://google.fr/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Search_URL"="http://recherche.neuf.fr/"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Start Page"="http://home.sweetim.com"
   "Search Bar"="http://srch-qfr9.hpwis.com/"


   --------------------\\  Recherche d'autres infections

   C:\WINDOWS\Pack.epk
 
   C:\WINDOWS\System32\gwsou.dat
   C:\WINDOWS\System32\gwsou.exe
   C:\WINDOWS\System32\gwsou_nav.dat
   C:\WINDOWS\System32\gwsou_navfx.dat
   C:\WINDOWS\System32\gwsou_navps.dat
   C:\WINDOWS\System32\iyfdnjv.dat
   C:\WINDOWS\System32\iyfdnjv_nav.dat
   C:\WINDOWS\System32\iyfdnjv_navps.dat
   C:\WINDOWS\System32\pzdypvqgqd.dat
   C:\WINDOWS\System32\pzdypvqgqd_nav.dat
   C:\WINDOWS\System32\pzdypvqgqd_navps.dat
   C:\WINDOWS\System32\ygayi_navfx.dat
   [b]==> EGDACCESS <==/b

   --------------------\\  ROGUES ..

   C:\PROGRA~1\WinAntiSpyware 2006 Scanner

   --------------------\\  Cracks & Keygens ..

   C:\DOCUME~1\PROPRI~1\Mes documents\Mes fichiers re‡us\Chamillionnaire - Ridin Feat Krayzie Bone - Crackhoodripteam.mpg



   1 - "C:\ToolBar SD\TB_1.txt" - 01/01/2001|21:45 - Option : [1]

   -----------\\  Fin du rapport a 21:45:14,28

y aussi F-secure et norton...

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.


ensuite :


Télécharger sur le bureau malwarebytes à cette adresse :

http://forum-aide-contre-virus.be/t%E9l%E9chargements.html

Voici un tuto pour bien l installer et bien l utiliser :

http://forum-aide-contre-virus.be/tutoriel%20malwarebytes.html

aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé


Après l analyse, redémarrer le pc et poste le rapport !!

Et refais un nouveau rapport hijackthis stp

Ok merci, c'est en cours. malwarebytes tourne depuis 1h maintenant et n'en est qu'au premier disque sur 3.
Il va y passer la nuit avec le merdier qu'il a l'air d'y avoir sur ce PC.

Je posterais le résultat demain matin.

Comment as tu appris à utiliser ces softs ?

ok pas de problèmes...

J ai appris en regardant les sujets sur le forum et en étudiant les logiciels pour savoir lesquels utiliser pour les différentes infections ;-)

j attends tes 3 rapports pour les analyser (toolbarSD, malwarebytes et hijackthis)

@+

J'ai celui de ToolbarSD, mais pour la suite ne les attends par pour ce soir, malwarebytes a l'air parti pour y passer la nuit ...
Mais c'est promis, tu les auras dès demain matin au petit dèj entre 2 croissants.

En tout cas, encore merci pour ta dispo et la rapidité des réponses.

ok lol

mais de rien ;-)

Bonne fin de soirée @+

Voilà, entre 2 croissants cela nous donne (ça devient du post dodu ...) :

- pour ToolBar :

   -----------\\  ToolBar S&D 1.1.8   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP  2800+ )
   BIOS : BIOS Date: 10/15/03 17:00:28 Ver: 08.00.08
   USER : Propriétaire ( Administrator )
   BOOT : Normal boot
   Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)

   "C:\ToolBar SD" ( MAJ : 07-09-2008|12:20 )
   Option : [2] ( 01/01/2001|22:04 )

   -----------\\ SUPPRESSION

   Supprime! - C:\Program Files\NavExcel\NavHelper
   Supprime! - C:\WINDOWS\iun6002.exe
   Supprime! - C:\Program Files\NavExcel

   -----------\\  Recherche de Fichiers / Dossiers ...


   -----------\\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
   "Search Page"="http://recherche.neuf.fr/"
   "Default_Page_URL"="http://qfr9.hpwis.com/"
   "Default_Search_URL"="http://srch-qfr9.hpwis.com/"
   "Search Bar"="http://recherche.neuf.fr/ie/default.html"
   "SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
   "Start Page"="http://google.fr/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Search_URL"="http://recherche.neuf.fr/"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Start Page"="http://www.msn.com/"
   "Search Bar"="http://srch-qfr9.hpwis.com/"


   --------------------\\  Recherche d'autres infections

   C:\WINDOWS\Pack.epk
 
   C:\WINDOWS\System32\gwsou.dat
   C:\WINDOWS\System32\gwsou.exe
   C:\WINDOWS\System32\gwsou_nav.dat
   C:\WINDOWS\System32\gwsou_navps.dat
   C:\WINDOWS\System32\iyfdnjv.dat
   C:\WINDOWS\System32\iyfdnjv_nav.dat
   C:\WINDOWS\System32\iyfdnjv_navps.dat
   C:\WINDOWS\System32\pzdypvqgqd.dat
   C:\WINDOWS\System32\pzdypvqgqd_nav.dat
   C:\WINDOWS\System32\pzdypvqgqd_navps.dat
   C:\WINDOWS\System32\ygayi_navfx.dat
   [b]==> EGDACCESS <==/b

   --------------------\\  ROGUES ..

   C:\PROGRA~1\WinAntiSpyware 2006 Scanner

   --------------------\\  Cracks & Keygens ..

   C:\DOCUME~1\PROPRI~1\Mes documents\Mes fichiers re‡us\Chamillionnaire - Ridin Feat Krayzie Bone - Crackhoodripteam.mpg



   1 - "C:\ToolBar SD\TB_1.txt" - 01/01/2001|21:45 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 01/01/2001|22:06 - Option : [2]

   -----------\\  Fin du rapport a 22:06:17,12

Pour Malwarebytes :

Malwarebytes' Anti-Malware 1.27
Version de la base de données: 1130
Windows 5.1.2600 Service Pack 2

02/01/2001 07:51:57
mbam-log-2001-01-02 (07-51-57).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 157246
Temps écoulé: 1 hour(s), 23 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\WinAntiSpyware 2006 Scanner (Rogue.WinAntiSpyware) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Menu Démarrer\carlton (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ClickToFindandFixErrorsIntl.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ClickToFindandFixErrors_Intl.ico (Malware.Trace) -> Quarantined and deleted successfully.

et pour finir, pour Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:05:24, on 02/01/2001
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Lingoes\Translator2\Lingoes.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\fred\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E1282590-B97E-BFAC-7F95-B79E8D6707CC} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {65C05F0B-C6E1-C233-E44A-CA19650A84CD} - (no file)
O2 - BHO: (no name) - {6C5E64A4-AE4F-AF9E-4F92-A2BFAF87DAC1} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: (no name) - {BBF37B17-BFF2-B927-A2D8-E6CB589F5BCD} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {D17109DC-C763-94E0-6933-CD29D6816ACA} - (no file)
O2 - BHO: (no name) - {E1282590-B97E-BFAC-7F95-B79E8D6707CC} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Sécurité\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Pack Sécurité\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Sécurité\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ROAD ITCH AMOK PING] C:\Documents and Settings\All Users\Application Data\Long slow road itch\obj bind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\system32\dllcache\wowexec.exe" -vt rbnd
O4 - HKCU\..\Run: [Steam] "f:\counter strike\steam.exe" -silent
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Lingoes] C:\Program Files\Lingoes\Translator2\Lingoes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB6737] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\ads.cdf" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB6112] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_1000.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD8842] cmd /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_1000.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB7845] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_2000.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD8523] cmd /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_2000.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB6487] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_3000.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD2651] cmd /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_3000.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB9279] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bar.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD373] cmd /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bar.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB2867] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bbar1.res" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD6283] cmd /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\d_icons_buttons_bbar1.res" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SpybotDeletingB6737] command /c del "C:\Documents and Settings\Propriétaire\Application Data\HbTools\v3.0\HbTools\static\1\ads.cdf" (User 'Default user')
O4 - S-1-5-18 Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Pack Sécurité.lnk = ?
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://www.securite.neuf.fr/Ols/fscax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/zuma/oberongamesloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://www.advmoney.com/ChatPlanetX.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Unknown owner - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe (file missing)
O23 - Service: FSBWSYS - F-Secure Corp. - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Unknown owner - c:\Program Files\Norton Personal Firewall\NISUM.EXE (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 18283 bytes

Je pars finir le 2° croissant, puis je file au boulot.

salut,moi je te conseille de desinstaller norton prorement voila le lien qui va sans n occuper http://service1.symantec.com/...

meme punition pour f_secure et garde antivir http://www.01net.com/...

si jamais tu n arriverai pas a le desinstaller f_secure telecharge ccleaner

jet un oeuil la desus http://jaws.unadev.com/11_Divers_CCleaner2.htm

Merci azerty,

la désinstallation "propre" de Norton était effectivement sur mes tablettes (j'avais trouvé ce site là : http://speedweb1.free.fr/frames2.php?page=divers3, mais s'ils ont prévu un patch pour finir le reliquat de désinstall, autant l'utiliser, c'est surement plus simple ...)

Pour F-Secure, j'ai l'impression qu'il va avec un pack sécurité de l'abonnement neuf qui comporte notamment un controle parental (c'est le PC du fils de mon pôte, moi je suis chez free).
Je regarderais plus précisément ce soir ce qu'il en est.

Pour geoffrey5, j'avais laissé firefox ouvert sur ce post le temps d'aller prendre mon deuxième croissant ;) , et juste avant de partir au boulot j'ai vu que les fenêtres indésirables s'ouvraient toujours.

Je pense que mon erreur vient du fait que j'avais laissé mon navigateur ouvert (sur le post pour suivre la démarche) pendant la "désinfection".
Je recommence ce soir tout navigateur éteint.

Encore merci à vous 2 pour votre aide ... on les aura bien ces satanés bestioles ...

Salut barbouille !!

ce n est pas fini :s

refais un nouveau rapport hijackthis stp

Salut geoffrey,

je n'ai pas le PC sous la main, je ferais ça ce soir.

Tu le veux après désinstallation complête de Norton et F-Secure ?

Sinon tu as le dernier dans ce que j'ai posté ce matin (au passage l'horloge du PC ne semble pas à jour. Le fiston du pote aurait-il tenté d'outrepasser la restriction horaire du contrôle parental ? Va falloir que je le cuisine sur le sujet ... ;)) )

oui tu peux faire la désinstallation de F-secure et de norton avant si tu veux..

Mais en voyant ton dernier rapport ton pc est toujours tres infecté :s

et pas la peine de faire Ccleaner pour le momentcomme azerty te le proposait, y a d autres choses à faire de plus important...

on continuera ce soir ;-)

@+

Ok, je laisse Norton et F-Secure sur les tablettes moins urgentes.

Concernant firefox qui est resté ouvert pendant le passage des ToolBar et Malwarebytes, ça ne pourrait pas être une cause d'infection tenace ? Genre j'ai laissé aux bordelwares la porte permettant de se réinstaller pendant le nettoyage ?

C est vrai que le mieux à faire c est de fermer toutes les applications quand on fait une analyse (y compris firefox)

on vera tout ca ce soir ;-)

Désolé de ne pas avoir émergé plus tôt ... début de soirée un chouilla mouvementé ...

Je viens de relancer les manips d'hier soir en mode sans échec. En effet, hier soir j'avais démarré la machine normalement alors que sur le tuto de Malwarebytes ils parlent bien de le faire en mode sans échec.

Je reposterais les rapports demain matin (il va probablement encore y passer la nuit, et moi je vais grossir avec tous les croissants que je m'envoie tous les matins ces temps-ci).

A demain alors (à moins qu'il n'y ai contre-ordre ?)