Spyware 2search??? liens googles modifiés ...
Fermé
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
-
23 janv. 2009 à 15:26
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 - 28 janv. 2009 à 23:42
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 - 28 janv. 2009 à 23:42
A voir également:
- Spyware 2search??? liens googles modifiés ...
- Anti spyware - Télécharger - Antivirus & Antimalwares
- Temu spyware - Guide
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Trojan spyware - Forum Virus
- Spyware terminator - Télécharger - Antivirus & Antimalwares
27 réponses
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
23 janv. 2009 à 15:28
23 janv. 2009 à 15:28
on va commencer par le début si tu veux bien
Télécharge le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la licence en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux (ne fixe rien pour le moment !!)
Télécharge le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la licence en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux (ne fixe rien pour le moment !!)
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 16:28
23 janv. 2009 à 16:28
Bonjour pimprenelle27,
Merci pour ta réponse.
Concernant hijackthis, j'ai deja fait un scan hier, et j'ai viré pas mal de chose, a tord ou non je ne sais pas, en faite lors de l'analyse sur le site hijackthis, ceux marqué avec une croix rouge, j'ai viré :/
Voici un nouveau scan :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:03, on 23/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\system32\igfxsrvc.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
Merci pour ta réponse.
Concernant hijackthis, j'ai deja fait un scan hier, et j'ai viré pas mal de chose, a tord ou non je ne sais pas, en faite lors de l'analyse sur le site hijackthis, ceux marqué avec une croix rouge, j'ai viré :/
Voici un nouveau scan :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:25:03, on 23/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\system32\igfxsrvc.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
23 janv. 2009 à 16:30
23 janv. 2009 à 16:30
non non non il faut jamais virer les truc même avec une crois rouge sans l'avis d'un spécialiste, sinon cela peut faire des dégâts dans ton pc.
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
23 janv. 2009 à 16:32
23 janv. 2009 à 16:32
Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.
Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc
Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs
Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc
Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 16:37
23 janv. 2009 à 16:37
D'accord pimprenelle27 je le serais à l'avenir.
Je lance GenProc et post a la suite le résultat
Je lance GenProc et post a la suite le résultat
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 16:44
23 janv. 2009 à 16:44
Apparemment, il y aura une infection.
Une autre précision, hier j'ai lancé mon pc en mode sans échec, mais il me demande un login/mdp
que je n'ai pas en ma posséssion.
Voici le résultat du fichier : GenProd[1].txt
Rapport GenProc 2.346 [1] - 23/01/2009 - Windows XP
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.
Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** w2k234ad ***
# Etape 2/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
____________________________________________________________________________________________________________
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
Une autre précision, hier j'ai lancé mon pc en mode sans échec, mais il me demande un login/mdp
que je n'ai pas en ma posséssion.
Voici le résultat du fichier : GenProd[1].txt
Rapport GenProc 2.346 [1] - 23/01/2009 - Windows XP
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- MSNFix http://sosvirus.changelog.fr/MSNFix.zip (!aur3n7) et décompresse-le sur le Bureau.
Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** w2k234ad ***
# Etape 2/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
____________________________________________________________________________________________________________
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 18:05
23 janv. 2009 à 18:05
je dois suivre ces étapes? Sachant que je ne peux pas me connecter en mode sans échec, que dois je faire?
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
23 janv. 2009 à 19:15
23 janv. 2009 à 19:15
tu vas faire ceci ça devrait peut être régler le mode sans echec ensuite tu essayeras le rapport genproc.
Etape 1/ Télécharge :
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.
Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.
# Etape 2/
Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage
Si besoin: Tutoriel
Etape 1/ Télécharge :
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.
Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.
# Etape 2/
Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage
Si besoin: Tutoriel
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 22:31
23 janv. 2009 à 22:31
Merci pimprenelle27 pour ta réponse.
Je te met tout de suite le rapport, avant une petite précision à signaler. Vers 16h00 cette apres midi, l'antivirus VirusScan qui en temps normal scan en continu, est repartie, alors que depuis l'infection, il était neutralisé et ne scannait plus rien.. Comme je l'ai signalé plus haut, je n'ai pas les droits pour le désactiver, et de lui meme il a détecté des fichiers infectés, et les a supprimés. Je te met un screen des fichiers trouvés :
http://img142.imageshack.us/img142/5777/scanwv7.jpg
Voici le rapport de findykill :
###################### [ FindyKill V4.714 ]
# User : w2k234ad - FT-8392AA77E0B3
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 22:21:10 le 23/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180
# [ FindyKill V4.714 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\system32\igfxsrvc.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINNT\System32\WScript.exe
C:\WINNT\system32\NOTEPAD.EXE
\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////
################## [ C:\ ]
################## [ C:\WINNT ]
################## [ C:\WINNT\Prefetch ]
################## [ C:\WINNT\system32 ]
################## [ C:\WINNT\system32\drivers ]
################## [ C:\Documents and Settings\Administrator\Application Data ]
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ]
\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINNT\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IgfxTray=C:\WINNT\system32\igfxtray.exe
HotKeysCmds=C:\WINNT\system32\hkcmd.exe
Persistence=C:\WINNT\system32\igfxpers.exe
SigmatelSysTrayApp=stsystra.exe
Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe
eburoUI="C:\WINNT\system32\e-buroUI.exe"
ShStatEXE="C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
Network Associates Error Reporting Service="C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
QuickTime Task="C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
eTCertManger=C:\WINNT\system32\eTCrtMng.exe
SwdisUsrPCN.FT-8392AA77E0B3="C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
DesktopAdmin=C:\Tivoli\itm\DesktopAdmin.exe
BEWINTERNET-EBUROSessionManager=C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
Mobile="C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
Communicator2005="C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
McAfeeUpdaterUI="C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
WTIndicator=C:\Program Files\WinTask\Bin\SchedInd.exe
USRPKGS=c:\winnt\usrpkgs\launch.vbs
Synchronization Manager=%SystemRoot%\system32\mobsync.exe /logon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\QuickSet Location Profile Manager]
\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////
# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - # Type de démarrage = 3
Ip6Fw - # Type de démarrage = 3
SharedAccess - # Type de démarrage = 2
wuauserv - # Type de démarrage = 2
wscsvc - # Type de démarrage = 2
\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
E: - Lecteur fixe
F: - Lecteur amovible
# presence des fichiers :
\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////
-> Not found !
################## [ ! Fin du rapport # FindyKill V4.714 ! ]
Je te met tout de suite le rapport, avant une petite précision à signaler. Vers 16h00 cette apres midi, l'antivirus VirusScan qui en temps normal scan en continu, est repartie, alors que depuis l'infection, il était neutralisé et ne scannait plus rien.. Comme je l'ai signalé plus haut, je n'ai pas les droits pour le désactiver, et de lui meme il a détecté des fichiers infectés, et les a supprimés. Je te met un screen des fichiers trouvés :
http://img142.imageshack.us/img142/5777/scanwv7.jpg
Voici le rapport de findykill :
###################### [ FindyKill V4.714 ]
# User : w2k234ad - FT-8392AA77E0B3
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à 22:21:10 le 23/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180
# [ FindyKill V4.714 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\system32\igfxsrvc.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\explorer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\WINNT\System32\WScript.exe
C:\WINNT\system32\NOTEPAD.EXE
\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////
################## [ C:\ ]
################## [ C:\WINNT ]
################## [ C:\WINNT\Prefetch ]
################## [ C:\WINNT\system32 ]
################## [ C:\WINNT\system32\drivers ]
################## [ C:\Documents and Settings\Administrator\Application Data ]
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ]
\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINNT\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
IgfxTray=C:\WINNT\system32\igfxtray.exe
HotKeysCmds=C:\WINNT\system32\hkcmd.exe
Persistence=C:\WINNT\system32\igfxpers.exe
SigmatelSysTrayApp=stsystra.exe
Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe
eburoUI="C:\WINNT\system32\e-buroUI.exe"
ShStatEXE="C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
Network Associates Error Reporting Service="C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
QuickTime Task="C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
eTCertManger=C:\WINNT\system32\eTCrtMng.exe
SwdisUsrPCN.FT-8392AA77E0B3="C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
DesktopAdmin=C:\Tivoli\itm\DesktopAdmin.exe
BEWINTERNET-EBUROSessionManager=C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
Mobile="C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
Communicator2005="C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
McAfeeUpdaterUI="C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
WTIndicator=C:\Program Files\WinTask\Bin\SchedInd.exe
USRPKGS=c:\winnt\usrpkgs\launch.vbs
Synchronization Manager=%SystemRoot%\system32\mobsync.exe /logon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\QuickSet Location Profile Manager]
\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////
# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - # Type de démarrage = 3
Ip6Fw - # Type de démarrage = 3
SharedAccess - # Type de démarrage = 2
wuauserv - # Type de démarrage = 2
wscsvc - # Type de démarrage = 2
\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
E: - Lecteur fixe
F: - Lecteur amovible
# presence des fichiers :
\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////
-> Not found !
################## [ ! Fin du rapport # FindyKill V4.714 ! ]
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
23 janv. 2009 à 23:25
23 janv. 2009 à 23:25
Etape 3/
Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt
ensuite essaye de refaire les étapes du rapport gen proc.
Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt
ensuite essaye de refaire les étapes du rapport gen proc.
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 23:55
23 janv. 2009 à 23:55
Impossible de me connecter en mode sans échec, il me demande un login/mdp que je ne possède pas. Peut etre que mon entreprise on protéger sons accès? ou alors cela proviendrait de l'infection?
Sinon voici le nouveau rapport de findykill en sélectionnant l'option 2, petite précision, je n'ai eu qu'un reboot
###################### [ FindyKill V4.714 ]
# User : w2k234ad - FT-8392AA77E0B3
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 23:37:56 the 23/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180
# [ FindyKill V4.714 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINNT ]
################## [ C:\WINNT\Prefetch ]
Deleted ! - C:\WINNT\prefetch\MDELK.EXE-238AA5EF.pf
################## [ C:\WINNT\system32 ]
################## [ C:\WINNT\system32\drivers ]
################## [ C:\Documents and Settings\Administrator\Application Data ]
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ]
################## [ C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 ]
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
E: - Lecteur fixe
F: - Lecteur amovible
G: - Lecteur amovible
H: - Lecteur amovible
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
################## [ ! End of report # FindyKill V4.714 ! ]
Sinon voici le nouveau rapport de findykill en sélectionnant l'option 2, petite précision, je n'ai eu qu'un reboot
###################### [ FindyKill V4.714 ]
# User : w2k234ad - FT-8392AA77E0B3
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at 23:37:56 the 23/01/2009
# Windows XP - Internet Explorer 6.0.2900.2180
# [ FindyKill V4.714 - Deleting ] ###############
\\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\Program Files\Network Associates\Common Framework\naPrdMgr.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\system32\wdfmgr.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\WINNT\System32\alg.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wbem\wmiprvse.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
\\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////
################## [ C:\ ]
################## [ C:\WINNT ]
################## [ C:\WINNT\Prefetch ]
Deleted ! - C:\WINNT\prefetch\MDELK.EXE-238AA5EF.pf
################## [ C:\WINNT\system32 ]
################## [ C:\WINNT\system32\drivers ]
################## [ C:\Documents and Settings\Administrator\Application Data ]
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ]
################## [ C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 ]
\\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////
# Services : [ Auto=2 / Request=3 / Disable=4 ]
Ndisuio - # Type of startup = 3
Ip6Fw - # Type of startup = 2
SharedAccess - # Type of startup = 2
wuauserv - # Type of startup = 2
wscsvc - # Type of startup = 2
\\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////
# Informations :
C: - Lecteur fixe
D: - Lecteur de CD-ROM
E: - Lecteur fixe
F: - Lecteur amovible
G: - Lecteur amovible
H: - Lecteur amovible
# deleting files :
\\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////
-> Not found !
\\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////
################## [ ! End of report # FindyKill V4.714 ! ]
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
23 janv. 2009 à 23:56
23 janv. 2009 à 23:56
tu es sur le pc de l'entreprise?
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
23 janv. 2009 à 23:58
23 janv. 2009 à 23:58
Oui, comme je l'ai précisé plus haut dans le post.
C'est un pc portable, je possède une session administrateur. VirusScan et le parefeu sont activé et je ne peux pas les désactiver, je ne possède pas les droits.
"Je précise, que c'est le pc portable de mon travail, dessus est installé le logiciel 'virus scan' et le pare feu windows est actif. De mon coté, j'ai acces à un mode administrateur, mais par contre je ne peux pas désactiver l antivirus et le parefeu. "
C'est un pc portable, je possède une session administrateur. VirusScan et le parefeu sont activé et je ne peux pas les désactiver, je ne possède pas les droits.
"Je précise, que c'est le pc portable de mon travail, dessus est installé le logiciel 'virus scan' et le pare feu windows est actif. De mon coté, j'ai acces à un mode administrateur, mais par contre je ne peux pas désactiver l antivirus et le parefeu. "
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
>
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 00:04
24 janv. 2009 à 00:04
Ah si c'est bon! je suis sous le mode sans échec, il suffisait de reprendre le login/mdp de la session admin.
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
24 janv. 2009 à 00:04
24 janv. 2009 à 00:04
si tu ne peux pas avoir accès au mode sans echec, je ne vois pas comment on va pouvoir te désinfecter correctement.
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 00:07
24 janv. 2009 à 00:07
si c'est je suis en mode sans échec, je procéde aux différents étapes et je met de suite les rapports.
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
24 janv. 2009 à 00:09
24 janv. 2009 à 00:09
ok.merci.
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 00:19
24 janv. 2009 à 00:19
Alors voila, j'ai bien lancé MSNfix en mode sans échec, il a détecté une infection. Ensuite, j'ai sélectionné l'option N, et il a terminé, mais SANS générer de rapport ... ??? Ensuite j'ai procédé a un nettoyage avec CCleaner
Apres, j'ai donc redémarrer mon pc en mode sans échec, a nouveau lancer une rechercher MSNfix, et la il n'a rien détecter.
Apres, j'ai donc redémarrer mon pc en mode sans échec, a nouveau lancer une rechercher MSNfix, et la il n'a rien détecter.
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
24 janv. 2009 à 00:22
24 janv. 2009 à 00:22
ok reposte moi un hijackthis
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 00:27
24 janv. 2009 à 00:27
Merci encore pour votre suivi
Voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:48, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
Voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:48, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
24 janv. 2009 à 00:36
24 janv. 2009 à 00:36
Telecharge malwarebytes
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Tutoriaux
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Tutoriaux
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 10:36
24 janv. 2009 à 10:36
Voila c'est fait, dis moi si tu as besoin d'autres choses
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 10:28
24 janv. 2009 à 10:28
Voici le rapport de malware, et a la suite du post, je te met un nouveau rapport de hijackthis, ou cas ou tu en aurais besoin d'un
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1685
Windows 5.1.2600 Service Pack 2
24/01/2009 10:25:50
mbam-log-2009-01-24 (10-25-50).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 125904
Temps écoulé: 27 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Administrator\Desktop\GenProc\outil\curl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\ZGYK6628\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSkrxx.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSnpur.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSoitu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSyaqu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1685
Windows 5.1.2600 Service Pack 2
24/01/2009 10:25:50
mbam-log-2009-01-24 (10-25-50).txt
Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 125904
Temps écoulé: 27 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Administrator\Desktop\GenProc\outil\curl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\ZGYK6628\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSkrxx.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSnpur.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSoitu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINNT\system32\TDSSyaqu.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully.
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 10:28
24 janv. 2009 à 10:28
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:26:47, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
Scan saved at 10:26:47, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
24 janv. 2009 à 11:29
24 janv. 2009 à 11:29
Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! désactive ton antivirus.
* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! désactive ton antivirus.
* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 11:42
24 janv. 2009 à 11:42
-----------\\ ToolBar S&D 1.2.8 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 24/01/2009|11:40 )
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://intranoo.francetelecom.fr/"
"Local Page"="C:\\WINNT\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
1 - "C:\ToolBar SD\TB_1.txt" - 24/01/2009|11:41 - Option : [1]
-----------\\ Fin du rapport a 11:41:02,65
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 24/01/2009|11:40 )
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://intranoo.francetelecom.fr/"
"Local Page"="C:\\WINNT\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
1 - "C:\ToolBar SD\TB_1.txt" - 24/01/2009|11:41 - Option : [1]
-----------\\ Fin du rapport a 11:41:02,65
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
24 janv. 2009 à 11:54
24 janv. 2009 à 11:54
rien par ici donc maintenant celui ci.
Téléchargez SmitfraudFix et enregistrez-le sur le bureau
* Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
* Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
* A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.
Regarde bien le tuto qui est avec
/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.
En mode sans echec la suppression des fichiers présents.
Téléchargez SmitfraudFix et enregistrez-le sur le bureau
* Ensuite, double cliquez sur SmitfraudFix puis sur Exécuter. (Sous Vista : clic droit sur SmitfraudFix et sélectionnez "Exécuter en tant qu'administrateur")
* Sélectionnez 1 pour créer un rapport des fichiers responsables de l'infection.
* A la fin de l'analyse, un rapport va être généré...Enregistrez-le sur le bureau.
Regarde bien le tuto qui est avec
/!\ Postez le rapport sur le forum pour savoir si la suppression peut être lancée.
En mode sans echec la suppression des fichiers présents.
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 11:59
24 janv. 2009 à 11:59
L'antivirus VirusScan, que je ne peux pas désactiver car je ne possède pas les droits, reconnait smitfraudfix.exe comme un fichier infecté et le supprime directement, ce qui ne me permet pas de lancer le fichier.
Puis je lancer SmitfraudFix sous le mode sans échec? car je sais qu'ici l'antivirus est inactif, ce qui me permettra de lancer la recherche.
Merci de ta réponse
Puis je lancer SmitfraudFix sous le mode sans échec? car je sais qu'ici l'antivirus est inactif, ce qui me permettra de lancer la recherche.
Merci de ta réponse
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 12:35
24 janv. 2009 à 12:35
J'ai fait la recherche en mode sans échec, je n'ai pas eu d'autre solution, voici le rapport
SmitFraudFix v2.391
Scan done at 12:31:34,15, 24/01/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
"System"=""
"LogonPrompt"="Whoever accesses or attempts to access France Telecom Information System in a fraudulent way shall be prosecuted under statutes and regulations in force in the country where the offense takes place."
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
SmitFraudFix v2.391
Scan done at 12:31:34,15, 24/01/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
"System"=""
"LogonPrompt"="Whoever accesses or attempts to access France Telecom Information System in a fraudulent way shall be prosecuted under statutes and regulations in force in the country where the offense takes place."
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 13:00
24 janv. 2009 à 13:00
Pour continuer, j'ai procédé à l'étape 2, pour la suppression, voici le nouveau rapport :
SmitFraudFix v2.391
Scan done at 12:57:01,68, 24/01/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
"LogonPrompt"="Whoever accesses or attempts to access France Telecom Information System in a fraudulent way shall be prosecuted under statutes and regulations in force in the country where the offense takes place."
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
SmitFraudFix v2.391
Scan done at 12:57:01,68, 24/01/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer=193.50.159.88
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
"LogonPrompt"="Whoever accesses or attempts to access France Telecom Information System in a fraudulent way shall be prosecuted under statutes and regulations in force in the country where the offense takes place."
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
gu1gui
Messages postés
31
Date d'inscription
vendredi 23 janvier 2009
Statut
Membre
Dernière intervention
28 mars 2009
24 janv. 2009 à 13:04
24 janv. 2009 à 13:04
et voici un nouveau rapport hijackthis (si besoin) :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:13, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:13, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe