Sujet Précédent Sujet Suivant

Cool stuf, le retour

Fermé
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008 - 22 oct. 2005 à 00:21
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 23 oct. 2005 à 00:32
J'avais des problèmes de favoris indésirables (Cool stuff, travel, shopping...) et j'ai donc démarré en mode sans echec et fait tourné spybot, adaware et clean-up 40 après avoir desactivé la restauration système, affiché les dossiers cachés.
J'ai enlevé des choses qui m'étaient proposées: Alexa=windows security center antivirus override par exemple.

Il doit malheureusement y avoir d'autres choses à enlever via Hijakthis car après quelques instants, c'est le retour des indésirables favoris!!!

Bref, voici le 1er rapport en mode sans échec :

Logfile of HijackThis v1.99.1
Scan saved at 21:52:08, on 21/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adoddyncfvt.com/8eZOxJwc2piOgcnZ1sBBzXa7dcfajOkmcwEa66Cb_Rs.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [jugsglue] C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://fr.trendmicro-europe.com/enterprise/products/housecall_pre.php (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .chm: C:\Program Files\Internet Explorer\PLUGINS\NPCDP32.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_downloads/common/housecall/HouseCallButton.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

puis un second, toujours en mode sans echec, après avoir deleté un truc qui me semblait pas terrible:
O4 - HKCU\..\Run: [jugsglue] C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe


Logfile of HijackThis v1.99.1
Scan saved at 22:01:33, on 21/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HijackThis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adoddyncfvt.com/8eZOxJwc2piOgcnZ1sBBzXa7dcfajOkmcwEa66Cb_Rs.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://fr.trendmicro-europe.com/enterprise/products/housecall_pre.php (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .chm: C:\Program Files\Internet Explorer\PLUGINS\NPCDP32.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_downloads/common/housecall/HouseCallButton.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Merci d'avance pour toutes vos propositions car avant j'avais des problèmes de favoris indésirables , et maintenant j'ai toujours des problèmes de favoris indésirables!

27 réponses

  • 1
  • 2
Réponse 1 / 27
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 oct. 2005 à 00:24
salut
le rapport fait le en mode normal sinon ont ne voie pas tous
0
Réponse 2 / 27
Utilisateur anonyme
22 oct. 2005 à 00:26
balltrap;, ca peut peut etre t interresser:
http://home.tele2.fr/gchrispage/index/download/
http://home.tele2.fr/gchrispage/index/download/fichiers_&_scripts/

a verifier...
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 oct. 2005 à 00:31
oki quentin
mais je connait gchris
0
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 00:43
Salut regis 59,
j'ai regardé ces 2 liens mais j'y comprends pas grand-chose. Ca dépasse mes compétences de non spécialiste d'informatique. Est-ce vraiment destiné à mon problème de favoris trop collants?
0
Réponse 3 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 00:28
Merci du conseil, le voici donc encore tout chaud:

Logfile of HijackThis v1.99.1
Scan saved at 00:26:29, on 22/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ywpdigkhnndzapuhm.com/8eZOxJwc2pjLWlot0F/lXe3nCa38gMQiJor6ynS66c8/IgyYgoSUds3ZiDESAXBn.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbfpumjalv.net/8eZOxJwc2piOgcnZ1sBBzRGAxIqF4z2UcwEa66Cb_Rs.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [jugsglue] C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://fr.trendmicro-europe.com/enterprise/products/housecall_pre.php (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .chm: C:\Program Files\Internet Explorer\PLUGINS\NPCDP32.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_downloads/common/housecall/HouseCallButton.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.fr/files/rfscanax.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D88F088-8FA4-4567-B624-6E5C71D5653C}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 4 / 27
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 oct. 2005 à 00:43
salut

****************************************************************
► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
****************************************************************
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
***
spybot (2)version 1.4

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
***
et aussi ceci
CleanUp40.exe(3)

voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm
***
a2(4)

http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
***
telecharge lopxp ici:

http://cjoint.com/?kumvZSxxY4
tu le decompresse
double clik ensuite sur lopxp.bat cela vas generer un rapport copie colle le ici


****************************************************************
desactive ta restauration systeme

pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
****************************************************************

assure toi de ceci

Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
****************************************************************
vide tes fichiers temps et tempory internet file sur tous les utilisateur

utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe


****************************************************************
relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ywpdigkhnndzapuhm.com/8eZOxJwc2pjLWlot0F/lXe3nCa38gMQiJor6ynS66c8/IgyYgoSUds3ZiDESAXBn.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mbfpumjalv.net/8eZOxJwc2piOgcnZ1sBBzRGAxIqF4z2UcwEa66Cb_Rs.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O4 - HKCU\..\Run: [jugsglue] C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_downloads/common/housecall/HouseCallButton.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.fr/files/rfscanax.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab




****************************************************************

****************************************************************
redemarre en mode sans echec

mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
****************************************************************
recherche et suppr ceci
C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe



****************************************************************

****************************************************************
►passe adaware et vire tous se qu il trouve
****************************************************************
►passe spy boot et vire tous se qu il trouvent
****************************************************************
►passe a2
****************************************************************
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis




--
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 00:52
Merci pour les propositions,
je m'y colle et je vous tiens au courant des résultats.
0
Réponse 6 / 27
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 oct. 2005 à 00:58
oki
a++
0
Réponse 7 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 01:01
Voici tout d'abord le rapport de lopxp:

Rapport fait à 0:58:15,34 le 22/10/2005

Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/07/2003 22:08 62 desktop.ini
08/07/2003 22:08 <REP> Microsoft
08/07/2003 22:08 <REP> ..
08/07/2003 22:08 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\All Users\Application Data

14/10/2005 19:27 <REP> Kaspersky Anti-Virus Personal
27/08/2005 12:44 <REP> Windows Genuine Advantage
05/07/2005 19:31 <REP> Grisoft
15/10/2004 09:23 <REP> HeartActiveItchGram
30/09/2004 08:09 <REP> List Bone Ooze Anti
01/09/2004 15:03 <REP> pixelStorm
22/07/2004 21:23 <REP> Spybot - Search & Destroy
07/05/2004 18:11 <REP> Macrovision
01/02/2004 16:12 <REP> nView_Profiles
22/01/2004 23:16 <REP> Adobe
28/12/2003 17:14 <REP> Ulead Systems
26/07/2003 22:15 <REP> QuickTime
10/07/2003 18:29 <REP> MSN6
08/07/2003 22:08 62 desktop.ini
08/07/2003 22:08 <REP> Microsoft
08/07/2003 22:08 <REP> .
08/07/2003 22:08 <REP> ..
1 fichier(s) 62 octets
16 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Catherine\Application Data

12/10/2005 08:47 <REP> Kind Date
03/06/2005 21:33 <REP> Registry Cleaner
10/05/2005 21:50 <REP> PDFcreator
02/05/2005 19:59 <REP> Thunderbird
18/04/2005 00:00 <REP> Talkback
27/01/2005 17:16 <REP> Black Sea Studios
28/12/2004 20:39 51616 GDIPFONTCACHEV1.DAT
24/12/2004 09:46 <REP> Lavasoft
02/11/2004 09:29 <REP> AIM LOG BEND
23/05/2004 13:35 <REP> Hewlett-Packard
21/05/2004 20:28 <REP> Dossier de t‚l‚chargement Share-to-Web
26/01/2004 21:55 <REP> AdobeUM
29/12/2003 23:12 <REP> Ulead Systems
25/10/2003 09:16 <REP> Mozilla
05/10/2003 15:01 <REP> Macromedia
02/08/2003 10:47 83 sversion.ini
02/08/2003 10:47 2048 user60.rdb
23/07/2003 19:10 <REP> Help
08/07/2003 22:34 <REP> Adobe
08/07/2003 22:26 <REP> Identities
08/07/2003 22:26 62 desktop.ini
08/07/2003 22:26 <REP> ..
08/07/2003 22:26 <REP> .
08/07/2003 22:26 <REP> Microsoft
4 fichier(s) 53809 octets
20 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Cl‚mentine\Application Data

28/12/2003 17:14 <REP> Ulead Systems
04/10/2003 13:35 <REP> Macromedia
04/10/2003 13:35 <REP> Help
26/07/2003 21:18 0 sversion.ini
26/07/2003 21:18 2048 user60.rdb
10/07/2003 18:29 <REP> MSN6
10/07/2003 18:27 <REP> Identities
10/07/2003 18:27 62 desktop.ini
10/07/2003 18:27 <REP> ..
10/07/2003 18:27 <REP> .
10/07/2003 18:27 <REP> Microsoft
3 fichier(s) 2110 octets
8 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\F‚lix\Application Data

26/01/2005 18:57 <REP> Black Sea Studios
26/01/2005 17:58 <REP> Talkback
26/01/2005 17:58 <REP> Mozilla
06/06/2004 19:14 <REP> Hewlett-Packard
23/05/2004 19:27 <REP> Dossier de t‚l‚chargement Share-to-Web
18/04/2004 19:50 <REP> AdobeUM
18/04/2004 19:50 <REP> Adobe
21/02/2004 14:35 <REP> Ulead Systems
19/10/2003 15:07 <REP> Help
25/09/2003 20:10 0 sversion.ini
25/09/2003 20:10 2048 user60.rdb
11/07/2003 14:46 <REP> Identities
11/07/2003 14:46 62 desktop.ini
11/07/2003 14:46 <REP> ..
11/07/2003 14:46 <REP> .
11/07/2003 14:46 <REP> Microsoft
3 fichier(s) 2110 octets
13 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Lola\Application Data

02/03/2005 11:46 <REP> Kind Date
15/11/2004 14:09 <REP> AIM LOG BEND
30/06/2004 20:06 <REP> Dossier de t‚l‚chargement Share-to-Web
11/07/2003 15:10 <REP> Identities
11/07/2003 15:10 62 desktop.ini
11/07/2003 15:10 <REP> Microsoft
11/07/2003 15:10 <REP> ..
11/07/2003 15:10 <REP> .
1 fichier(s) 62 octets
7 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Denis\Application Data

12/10/2005 14:01 <REP> Kind Date
14/07/2005 10:46 <REP> Trend Micro
28/05/2005 16:09 <REP> Registry Cleaner
03/05/2005 20:50 <REP> PDFCreator
01/05/2005 16:29 <REP> Thunderbird
13/02/2005 13:37 1555 AdobeDLM.log
22/01/2005 18:47 <REP> AIM LOG BEND
12/01/2005 00:36 <REP> Talkback
23/12/2004 22:28 <REP> Lavasoft
19/08/2004 16:27 <REP> Hewlett-Packard
31/07/2004 15:00 <REP> InterVideo
29/05/2004 12:03 50840 GDIPFONTCACHEV1.DAT
21/05/2004 21:40 <REP> Dossier de t‚l‚chargement Share-to-Web
21/04/2004 21:26 <REP> Leadertech
08/03/2004 19:06 <REP> Ulead Systems
08/02/2004 12:17 <REP> AdobeUM
22/01/2004 23:09 0 dm.ini
17/01/2004 14:08 <REP> Adobe
10/01/2004 16:45 <REP> Macromedia
10/01/2004 16:32 <REP> Help
25/07/2003 09:07 <REP> Mozilla
25/07/2003 09:03 0 sversion.ini
12/07/2003 10:40 <REP> Identities
12/07/2003 10:40 62 desktop.ini
12/07/2003 10:40 <REP> ..
12/07/2003 10:40 <REP> .
12/07/2003 10:40 <REP> Microsoft
5 fichier(s) 52457 octets
22 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\ENVOL\Application Data

12/07/2005 10:06 <REP> Kind Date
30/01/2005 10:55 <REP> Mozilla
09/01/2005 20:00 50840 GDIPFONTCACHEV1.DAT
15/10/2004 11:42 <REP> AIM LOG BEND
24/05/2004 17:51 <REP> Hewlett-Packard
23/05/2004 15:57 <REP> Dossier de t‚l‚chargement Share-to-Web
21/04/2004 21:20 <REP> Leadertech
27/01/2004 10:04 <REP> AdobeUM
27/01/2004 10:04 <REP> Adobe
20/01/2004 09:48 0 sversion.ini
20/01/2004 09:48 2048 user60.rdb
13/01/2004 11:39 <REP> Macromedia
08/01/2004 22:04 <REP> Help
03/12/2003 21:34 <REP> Identities
03/12/2003 21:34 62 desktop.ini
03/12/2003 21:34 <REP> ..
03/12/2003 21:34 <REP> .
03/12/2003 21:34 <REP> Microsoft
4 fichier(s) 52950 octets
14 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

28/02/2004 19:32 <REP> Identities
28/02/2004 19:31 62 desktop.ini
28/02/2004 19:31 <REP> Microsoft
28/02/2004 19:31 <REP> ..
28/02/2004 19:31 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\AUTISME 49\Application Data

30/09/2005 18:11 <REP> Kind Date
07/03/2005 20:12 <REP> AdobeUM
07/03/2005 20:12 <REP> Adobe
29/11/2004 12:32 <REP> AIM LOG BEND
24/10/2004 11:38 <REP> Dossier de t‚l‚chargement Share-to-Web
24/10/2004 11:38 <REP> Identities
24/10/2004 11:38 62 desktop.ini
24/10/2004 11:38 <REP> Microsoft
24/10/2004 11:38 <REP> .
24/10/2004 11:38 <REP> ..
1 fichier(s) 62 octets
9 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Nina\Application Data

26/06/2005 12:32 <REP> Talkback
26/06/2005 12:32 <REP> Mozilla
26/06/2005 12:16 <REP> Identities
26/06/2005 12:16 62 desktop.ini
26/06/2005 12:16 <REP> Microsoft
26/06/2005 12:16 <REP> ..
26/06/2005 12:16 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\clem\Application Data

14/10/2005 18:00 <REP> Kind Date
09/10/2005 18:21 <REP> AIM LOG BEND
29/09/2005 17:42 <REP> AdobeUM
15/09/2005 20:06 <REP> PDFcreator
30/08/2005 11:48 <REP> Adobe
07/08/2005 11:41 <REP> Talkback
07/08/2005 11:41 <REP> Mozilla
31/07/2005 12:08 <REP> Help
06/07/2005 20:33 <REP> Macromedia
06/07/2005 20:20 <REP> Identities
06/07/2005 20:19 62 desktop.ini
06/07/2005 20:19 <REP> Microsoft
06/07/2005 20:19 <REP> .
06/07/2005 20:19 <REP> ..
1 fichier(s) 62 octets
13 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

21/10/2005 09:01 62 desktop.ini
21/10/2005 09:01 <REP> Microsoft
21/10/2005 09:01 <REP> ..
21/10/2005 09:01 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 25505103872 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\WINDOWS\Tasks

14/10/2005 18:00 256 AF303A6491E3B440.job
12/10/2005 14:01 260 B133CE4D918C7F39.job
12/10/2005 08:47 274 A1D9F688919A7024.job
30/09/2005 18:11 276 A0EB3BA7919CAF03.job
30/08/2005 22:00 282 B7AF7A64912CE490.job
12/07/2005 10:06 260 A82F839F91843A7B.job
24/03/2005 17:05 256 BA4F8E9A917C341E.job
02/03/2005 11:46 256 A3F66389915219C1.job
30/09/2004 08:09 240 A79355D09180D114.job
08/07/2003 22:19 6 SA.DAT
08/07/2003 22:18 65 desktop.ini
08/07/2003 22:18 <REP> .
08/07/2003 22:18 <REP> ..
11 fichier(s) 2ÿ431 octets
2 R‚p(s) 25ÿ505ÿ103ÿ872 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************





Et je continue la suite.
0
Réponse 8 / 27
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 oct. 2005 à 01:05
rajoute a suppr ces fichiers dans C:\WINDOWS\Tasks
AF303A6491E3B440.job
B133CE4D918C7F39.job
A1D9F688919A7024.job
A0EB3BA7919CAF03.job
B7AF7A64912CE490.job
A82F839F91843A7B.job
BA4F8E9A917C341E.job
A3F66389915219C1.job
A79355D09180D114.job
0
Réponse 9 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 03:05
Balltrap,
Voici le dernier rapport après la procédure de nettoyage:

Logfile of HijackThis v1.99.1
Scan saved at 02:46:51, on 22/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gmzlvjbtimynxbebvfedofj.net/8eZOxJwc2pjLWlot0F/lXe3nCa38gMQiJor6ynS66c9OegcWAJes8c3ZiDESAXBn.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adoddyncfvt.com/8eZOxJwc2piOgcnZ1sBBzXa7dcfajOkmcwEa66Cb_Rs.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://fr.trendmicro-europe.com/enterprise/products/housecall_pre.php (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .chm: C:\Program Files\Internet Explorer\PLUGINS\NPCDP32.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Il faut aussi remarquer que m'étant déjà lancé dans le décrassage de l'ordinateur, je n'ai vu ton dernier message que depuis quelques minutes. Je viens donc d'essayer de supprimer AF303A6491E3B440.job et ses petits freres de C:\WINDOWS\Tasks mais je ne les vois pas! Quant aux favoris d'IE, et bien pour l'instant, ils ont disparu.
C'est suffisant pour que j'aille passer une bonne nuit.
Merci donc pour les conseils et espérons que les indésirables ne réapparaitront pas demain.

Bonne nuit à tous et merci encore!
0
Réponse 10 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 09:13
Damned,
ce matin tout est comme avant: favoris indésirables avec cool stuf...
Quel challenge, les sales petites bestioles semblent bien cachées!

L'explorateur Windows ne me laisse toujours pas voir les fichiers type AF303A6491E3B440.job et ses petits freres de C:\WINDOWS\Tasks qu'il m'était proposé de virer: comment m'y prendre?
merci d'avance pour vos propositions
0
Réponse 11 / 27
Utilisateur anonyme
22 oct. 2005 à 12:21
salut
Télécharge lopxp ici:

http://cjoint.com/?kumvZSxxY4

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+
0
Réponse 12 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 13:42
Me voici de retour, après avoir transporté les enfants de ci de la,
avec le rapport de lopx.bat suivi du rapport de la version de spyware doctor que je viens d'installer si sa peut aider. Il repère 41 fichiers infectés, sans les détruires dans cette version free.


Rapport fait à 0:58:15,34 le 22/10/2005

Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/07/2003 22:08 62 desktop.ini
08/07/2003 22:08 <REP> Microsoft
08/07/2003 22:08 <REP> ..
08/07/2003 22:08 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\All Users\Application Data

14/10/2005 19:27 <REP> Kaspersky Anti-Virus Personal
27/08/2005 12:44 <REP> Windows Genuine Advantage
05/07/2005 19:31 <REP> Grisoft
15/10/2004 09:23 <REP> HeartActiveItchGram
30/09/2004 08:09 <REP> List Bone Ooze Anti
01/09/2004 15:03 <REP> pixelStorm
22/07/2004 21:23 <REP> Spybot - Search & Destroy
07/05/2004 18:11 <REP> Macrovision
01/02/2004 16:12 <REP> nView_Profiles
22/01/2004 23:16 <REP> Adobe
28/12/2003 17:14 <REP> Ulead Systems
26/07/2003 22:15 <REP> QuickTime
10/07/2003 18:29 <REP> MSN6
08/07/2003 22:08 62 desktop.ini
08/07/2003 22:08 <REP> Microsoft
08/07/2003 22:08 <REP> .
08/07/2003 22:08 <REP> ..
1 fichier(s) 62 octets
16 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Catherine\Application Data

12/10/2005 08:47 <REP> Kind Date
03/06/2005 21:33 <REP> Registry Cleaner
10/05/2005 21:50 <REP> PDFcreator
02/05/2005 19:59 <REP> Thunderbird
18/04/2005 00:00 <REP> Talkback
27/01/2005 17:16 <REP> Black Sea Studios
28/12/2004 20:39 51616 GDIPFONTCACHEV1.DAT
24/12/2004 09:46 <REP> Lavasoft
02/11/2004 09:29 <REP> AIM LOG BEND
23/05/2004 13:35 <REP> Hewlett-Packard
21/05/2004 20:28 <REP> Dossier de t‚l‚chargement Share-to-Web
26/01/2004 21:55 <REP> AdobeUM
29/12/2003 23:12 <REP> Ulead Systems
25/10/2003 09:16 <REP> Mozilla
05/10/2003 15:01 <REP> Macromedia
02/08/2003 10:47 83 sversion.ini
02/08/2003 10:47 2048 user60.rdb
23/07/2003 19:10 <REP> Help
08/07/2003 22:34 <REP> Adobe
08/07/2003 22:26 <REP> Identities
08/07/2003 22:26 62 desktop.ini
08/07/2003 22:26 <REP> ..
08/07/2003 22:26 <REP> .
08/07/2003 22:26 <REP> Microsoft
4 fichier(s) 53809 octets
20 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Cl‚mentine\Application Data

28/12/2003 17:14 <REP> Ulead Systems
04/10/2003 13:35 <REP> Macromedia
04/10/2003 13:35 <REP> Help
26/07/2003 21:18 0 sversion.ini
26/07/2003 21:18 2048 user60.rdb
10/07/2003 18:29 <REP> MSN6
10/07/2003 18:27 <REP> Identities
10/07/2003 18:27 62 desktop.ini
10/07/2003 18:27 <REP> ..
10/07/2003 18:27 <REP> .
10/07/2003 18:27 <REP> Microsoft
3 fichier(s) 2110 octets
8 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\F‚lix\Application Data

26/01/2005 18:57 <REP> Black Sea Studios
26/01/2005 17:58 <REP> Talkback
26/01/2005 17:58 <REP> Mozilla
06/06/2004 19:14 <REP> Hewlett-Packard
23/05/2004 19:27 <REP> Dossier de t‚l‚chargement Share-to-Web
18/04/2004 19:50 <REP> AdobeUM
18/04/2004 19:50 <REP> Adobe
21/02/2004 14:35 <REP> Ulead Systems
19/10/2003 15:07 <REP> Help
25/09/2003 20:10 0 sversion.ini
25/09/2003 20:10 2048 user60.rdb
11/07/2003 14:46 <REP> Identities
11/07/2003 14:46 62 desktop.ini
11/07/2003 14:46 <REP> ..
11/07/2003 14:46 <REP> .
11/07/2003 14:46 <REP> Microsoft
3 fichier(s) 2110 octets
13 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Lola\Application Data

02/03/2005 11:46 <REP> Kind Date
15/11/2004 14:09 <REP> AIM LOG BEND
30/06/2004 20:06 <REP> Dossier de t‚l‚chargement Share-to-Web
11/07/2003 15:10 <REP> Identities
11/07/2003 15:10 62 desktop.ini
11/07/2003 15:10 <REP> Microsoft
11/07/2003 15:10 <REP> ..
11/07/2003 15:10 <REP> .
1 fichier(s) 62 octets
7 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Denis\Application Data

12/10/2005 14:01 <REP> Kind Date
14/07/2005 10:46 <REP> Trend Micro
28/05/2005 16:09 <REP> Registry Cleaner
03/05/2005 20:50 <REP> PDFCreator
01/05/2005 16:29 <REP> Thunderbird
13/02/2005 13:37 1555 AdobeDLM.log
22/01/2005 18:47 <REP> AIM LOG BEND
12/01/2005 00:36 <REP> Talkback
23/12/2004 22:28 <REP> Lavasoft
19/08/2004 16:27 <REP> Hewlett-Packard
31/07/2004 15:00 <REP> InterVideo
29/05/2004 12:03 50840 GDIPFONTCACHEV1.DAT
21/05/2004 21:40 <REP> Dossier de t‚l‚chargement Share-to-Web
21/04/2004 21:26 <REP> Leadertech
08/03/2004 19:06 <REP> Ulead Systems
08/02/2004 12:17 <REP> AdobeUM
22/01/2004 23:09 0 dm.ini
17/01/2004 14:08 <REP> Adobe
10/01/2004 16:45 <REP> Macromedia
10/01/2004 16:32 <REP> Help
25/07/2003 09:07 <REP> Mozilla
25/07/2003 09:03 0 sversion.ini
12/07/2003 10:40 <REP> Identities
12/07/2003 10:40 62 desktop.ini
12/07/2003 10:40 <REP> ..
12/07/2003 10:40 <REP> .
12/07/2003 10:40 <REP> Microsoft
5 fichier(s) 52457 octets
22 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\ENVOL\Application Data

12/07/2005 10:06 <REP> Kind Date
30/01/2005 10:55 <REP> Mozilla
09/01/2005 20:00 50840 GDIPFONTCACHEV1.DAT
15/10/2004 11:42 <REP> AIM LOG BEND
24/05/2004 17:51 <REP> Hewlett-Packard
23/05/2004 15:57 <REP> Dossier de t‚l‚chargement Share-to-Web
21/04/2004 21:20 <REP> Leadertech
27/01/2004 10:04 <REP> AdobeUM
27/01/2004 10:04 <REP> Adobe
20/01/2004 09:48 0 sversion.ini
20/01/2004 09:48 2048 user60.rdb
13/01/2004 11:39 <REP> Macromedia
08/01/2004 22:04 <REP> Help
03/12/2003 21:34 <REP> Identities
03/12/2003 21:34 62 desktop.ini
03/12/2003 21:34 <REP> ..
03/12/2003 21:34 <REP> .
03/12/2003 21:34 <REP> Microsoft
4 fichier(s) 52950 octets
14 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

28/02/2004 19:32 <REP> Identities
28/02/2004 19:31 62 desktop.ini
28/02/2004 19:31 <REP> Microsoft
28/02/2004 19:31 <REP> ..
28/02/2004 19:31 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\AUTISME 49\Application Data

30/09/2005 18:11 <REP> Kind Date
07/03/2005 20:12 <REP> AdobeUM
07/03/2005 20:12 <REP> Adobe
29/11/2004 12:32 <REP> AIM LOG BEND
24/10/2004 11:38 <REP> Dossier de t‚l‚chargement Share-to-Web
24/10/2004 11:38 <REP> Identities
24/10/2004 11:38 62 desktop.ini
24/10/2004 11:38 <REP> Microsoft
24/10/2004 11:38 <REP> .
24/10/2004 11:38 <REP> ..
1 fichier(s) 62 octets
9 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Nina\Application Data

26/06/2005 12:32 <REP> Talkback
26/06/2005 12:32 <REP> Mozilla
26/06/2005 12:16 <REP> Identities
26/06/2005 12:16 62 desktop.ini
26/06/2005 12:16 <REP> Microsoft
26/06/2005 12:16 <REP> ..
26/06/2005 12:16 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\clem\Application Data

14/10/2005 18:00 <REP> Kind Date
09/10/2005 18:21 <REP> AIM LOG BEND
29/09/2005 17:42 <REP> AdobeUM
15/09/2005 20:06 <REP> PDFcreator
30/08/2005 11:48 <REP> Adobe
07/08/2005 11:41 <REP> Talkback
07/08/2005 11:41 <REP> Mozilla
31/07/2005 12:08 <REP> Help
06/07/2005 20:33 <REP> Macromedia
06/07/2005 20:20 <REP> Identities
06/07/2005 20:19 62 desktop.ini
06/07/2005 20:19 <REP> Microsoft
06/07/2005 20:19 <REP> .
06/07/2005 20:19 <REP> ..
1 fichier(s) 62 octets
13 R‚p(s) 25505103872 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

21/10/2005 09:01 62 desktop.ini
21/10/2005 09:01 <REP> Microsoft
21/10/2005 09:01 <REP> ..
21/10/2005 09:01 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 25505103872 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\WINDOWS\Tasks

14/10/2005 18:00 256 AF303A6491E3B440.job
12/10/2005 14:01 260 B133CE4D918C7F39.job
12/10/2005 08:47 274 A1D9F688919A7024.job
30/09/2005 18:11 276 A0EB3BA7919CAF03.job
30/08/2005 22:00 282 B7AF7A64912CE490.job
12/07/2005 10:06 260 A82F839F91843A7B.job
24/03/2005 17:05 256 BA4F8E9A917C341E.job
02/03/2005 11:46 256 A3F66389915219C1.job
30/09/2004 08:09 240 A79355D09180D114.job
08/07/2003 22:19 6 SA.DAT
08/07/2003 22:18 65 desktop.ini
08/07/2003 22:18 <REP> .
08/07/2003 22:18 <REP> ..
11 fichier(s) 2ÿ431 octets
2 R‚p(s) 25ÿ505ÿ103ÿ872 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
Rapport fait à 13:33:29,12 le 22/10/2005

Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Default User\Application Data

08/07/2003 22:08 62 desktop.ini
08/07/2003 22:08 <REP> Microsoft
08/07/2003 22:08 <REP> ..
08/07/2003 22:08 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\All Users\Application Data

14/10/2005 19:27 <REP> Kaspersky Anti-Virus Personal
27/08/2005 12:44 <REP> Windows Genuine Advantage
05/07/2005 19:31 <REP> Grisoft
15/10/2004 09:23 <REP> HeartActiveItchGram
30/09/2004 08:09 <REP> List Bone Ooze Anti
01/09/2004 15:03 <REP> pixelStorm
22/07/2004 21:23 <REP> Spybot - Search & Destroy
07/05/2004 18:11 <REP> Macrovision
01/02/2004 16:12 <REP> nView_Profiles
22/01/2004 23:16 <REP> Adobe
28/12/2003 17:14 <REP> Ulead Systems
26/07/2003 22:15 <REP> QuickTime
10/07/2003 18:29 <REP> MSN6
08/07/2003 22:08 62 desktop.ini
08/07/2003 22:08 <REP> Microsoft
08/07/2003 22:08 <REP> .
08/07/2003 22:08 <REP> ..
1 fichier(s) 62 octets
16 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Catherine\Application Data

12/10/2005 08:47 <REP> Kind Date
03/06/2005 21:33 <REP> Registry Cleaner
10/05/2005 21:50 <REP> PDFcreator
02/05/2005 19:59 <REP> Thunderbird
18/04/2005 00:00 <REP> Talkback
27/01/2005 17:16 <REP> Black Sea Studios
28/12/2004 20:39 51616 GDIPFONTCACHEV1.DAT
24/12/2004 09:46 <REP> Lavasoft
02/11/2004 09:29 <REP> AIM LOG BEND
23/05/2004 13:35 <REP> Hewlett-Packard
21/05/2004 20:28 <REP> Dossier de t‚l‚chargement Share-to-Web
26/01/2004 21:55 <REP> AdobeUM
29/12/2003 23:12 <REP> Ulead Systems
25/10/2003 09:16 <REP> Mozilla
05/10/2003 15:01 <REP> Macromedia
02/08/2003 10:47 83 sversion.ini
02/08/2003 10:47 2048 user60.rdb
23/07/2003 19:10 <REP> Help
08/07/2003 22:34 <REP> Adobe
08/07/2003 22:26 <REP> Identities
08/07/2003 22:26 62 desktop.ini
08/07/2003 22:26 <REP> ..
08/07/2003 22:26 <REP> .
08/07/2003 22:26 <REP> Microsoft
4 fichier(s) 53809 octets
20 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Cl‚mentine\Application Data

28/12/2003 17:14 <REP> Ulead Systems
04/10/2003 13:35 <REP> Macromedia
04/10/2003 13:35 <REP> Help
26/07/2003 21:18 0 sversion.ini
26/07/2003 21:18 2048 user60.rdb
10/07/2003 18:29 <REP> MSN6
10/07/2003 18:27 <REP> Identities
10/07/2003 18:27 62 desktop.ini
10/07/2003 18:27 <REP> ..
10/07/2003 18:27 <REP> .
10/07/2003 18:27 <REP> Microsoft
3 fichier(s) 2110 octets
8 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\F‚lix\Application Data

26/01/2005 18:57 <REP> Black Sea Studios
26/01/2005 17:58 <REP> Talkback
26/01/2005 17:58 <REP> Mozilla
06/06/2004 19:14 <REP> Hewlett-Packard
23/05/2004 19:27 <REP> Dossier de t‚l‚chargement Share-to-Web
18/04/2004 19:50 <REP> AdobeUM
18/04/2004 19:50 <REP> Adobe
21/02/2004 14:35 <REP> Ulead Systems
19/10/2003 15:07 <REP> Help
25/09/2003 20:10 0 sversion.ini
25/09/2003 20:10 2048 user60.rdb
11/07/2003 14:46 <REP> Identities
11/07/2003 14:46 62 desktop.ini
11/07/2003 14:46 <REP> ..
11/07/2003 14:46 <REP> .
11/07/2003 14:46 <REP> Microsoft
3 fichier(s) 2110 octets
13 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Lola\Application Data

02/03/2005 11:46 <REP> Kind Date
15/11/2004 14:09 <REP> AIM LOG BEND
30/06/2004 20:06 <REP> Dossier de t‚l‚chargement Share-to-Web
11/07/2003 15:10 <REP> Identities
11/07/2003 15:10 62 desktop.ini
11/07/2003 15:10 <REP> Microsoft
11/07/2003 15:10 <REP> ..
11/07/2003 15:10 <REP> .
1 fichier(s) 62 octets
7 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Denis\Application Data

22/10/2005 11:25 <REP> PC Tools
22/10/2005 03:00 <REP> Kind Date
14/07/2005 10:46 <REP> Trend Micro
28/05/2005 16:09 <REP> Registry Cleaner
03/05/2005 20:50 <REP> PDFCreator
01/05/2005 16:29 <REP> Thunderbird
13/02/2005 13:37 1555 AdobeDLM.log
22/01/2005 18:47 <REP> AIM LOG BEND
12/01/2005 00:36 <REP> Talkback
23/12/2004 22:28 <REP> Lavasoft
19/08/2004 16:27 <REP> Hewlett-Packard
31/07/2004 15:00 <REP> InterVideo
29/05/2004 12:03 50840 GDIPFONTCACHEV1.DAT
21/05/2004 21:40 <REP> Dossier de t‚l‚chargement Share-to-Web
21/04/2004 21:26 <REP> Leadertech
08/03/2004 19:06 <REP> Ulead Systems
08/02/2004 12:17 <REP> AdobeUM
22/01/2004 23:09 0 dm.ini
17/01/2004 14:08 <REP> Adobe
10/01/2004 16:45 <REP> Macromedia
10/01/2004 16:32 <REP> Help
25/07/2003 09:07 <REP> Mozilla
25/07/2003 09:03 0 sversion.ini
12/07/2003 10:40 <REP> Identities
12/07/2003 10:40 62 desktop.ini
12/07/2003 10:40 <REP> ..
12/07/2003 10:40 <REP> .
12/07/2003 10:40 <REP> Microsoft
5 fichier(s) 52457 octets
23 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\ENVOL\Application Data

12/07/2005 10:06 <REP> Kind Date
30/01/2005 10:55 <REP> Mozilla
09/01/2005 20:00 50840 GDIPFONTCACHEV1.DAT
15/10/2004 11:42 <REP> AIM LOG BEND
24/05/2004 17:51 <REP> Hewlett-Packard
23/05/2004 15:57 <REP> Dossier de t‚l‚chargement Share-to-Web
21/04/2004 21:20 <REP> Leadertech
27/01/2004 10:04 <REP> AdobeUM
27/01/2004 10:04 <REP> Adobe
20/01/2004 09:48 0 sversion.ini
20/01/2004 09:48 2048 user60.rdb
13/01/2004 11:39 <REP> Macromedia
08/01/2004 22:04 <REP> Help
03/12/2003 21:34 <REP> Identities
03/12/2003 21:34 62 desktop.ini
03/12/2003 21:34 <REP> ..
03/12/2003 21:34 <REP> .
03/12/2003 21:34 <REP> Microsoft
4 fichier(s) 52950 octets
14 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Invit‚\Application Data

28/02/2004 19:32 <REP> Identities
28/02/2004 19:31 62 desktop.ini
28/02/2004 19:31 <REP> Microsoft
28/02/2004 19:31 <REP> ..
28/02/2004 19:31 <REP> .
1 fichier(s) 62 octets
4 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\AUTISME 49\Application Data

30/09/2005 18:11 <REP> Kind Date
07/03/2005 20:12 <REP> AdobeUM
07/03/2005 20:12 <REP> Adobe
29/11/2004 12:32 <REP> AIM LOG BEND
24/10/2004 11:38 <REP> Dossier de t‚l‚chargement Share-to-Web
24/10/2004 11:38 <REP> Identities
24/10/2004 11:38 62 desktop.ini
24/10/2004 11:38 <REP> Microsoft
24/10/2004 11:38 <REP> .
24/10/2004 11:38 <REP> ..
1 fichier(s) 62 octets
9 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Nina\Application Data

26/06/2005 12:32 <REP> Talkback
26/06/2005 12:32 <REP> Mozilla
26/06/2005 12:16 <REP> Identities
26/06/2005 12:16 62 desktop.ini
26/06/2005 12:16 <REP> Microsoft
26/06/2005 12:16 <REP> ..
26/06/2005 12:16 <REP> .
1 fichier(s) 62 octets
6 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\clem\Application Data

14/10/2005 18:00 <REP> Kind Date
09/10/2005 18:21 <REP> AIM LOG BEND
29/09/2005 17:42 <REP> AdobeUM
15/09/2005 20:06 <REP> PDFcreator
30/08/2005 11:48 <REP> Adobe
07/08/2005 11:41 <REP> Talkback
07/08/2005 11:41 <REP> Mozilla
31/07/2005 12:08 <REP> Help
06/07/2005 20:33 <REP> Macromedia
06/07/2005 20:20 <REP> Identities
06/07/2005 20:19 62 desktop.ini
06/07/2005 20:19 <REP> Microsoft
06/07/2005 20:19 <REP> .
06/07/2005 20:19 <REP> ..
1 fichier(s) 62 octets
13 R‚p(s) 25493012480 octets libres
Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

21/10/2005 09:01 62 desktop.ini
21/10/2005 09:01 <REP> Microsoft
21/10/2005 09:01 <REP> ..
21/10/2005 09:01 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 25493012480 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle C
Le num‚ro de s‚rie du volume est 2049-1BE8

R‚pertoire de C:\WINDOWS\Tasks

22/10/2005 03:00 260 A0544911919FC755.job
14/10/2005 18:00 256 AF303A6491E3B440.job
12/10/2005 08:47 274 A1D9F688919A7024.job
30/09/2005 18:11 276 A0EB3BA7919CAF03.job
30/08/2005 22:00 282 B7AF7A64912CE490.job
12/07/2005 10:06 260 A82F839F91843A7B.job
24/03/2005 17:05 256 BA4F8E9A917C341E.job
02/03/2005 11:46 256 A3F66389915219C1.job
30/09/2004 08:09 240 A79355D09180D114.job
08/07/2003 22:19 6 SA.DAT
08/07/2003 22:18 65 desktop.ini
08/07/2003 22:18 <REP> .
08/07/2003 22:18 <REP> ..
11 fichier(s) 2ÿ431 octets
2 R‚p(s) 25ÿ493ÿ012ÿ480 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************



Rapport Spyware doctor ;

Scan Results:
scan start: 22/10/2005 11:27:42
scan stop: 22/10/2005 12:11:09
scanned items: 137485
found items: 41
found and ignored: 0
tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Infection Name Location Risk
Lop.com HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##lop.com High
Lop.com HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##www.lop.com High
Lop.com HKCR\CLSID\{DC989389-54FC-CFD8-84E8-B8114A1B8B97} High
Lop.com HKCR\CLSID\{DC989389-54FC-CFD8-84E8-B8114A1B8B97}\InprocServer32 High
Lop.com HKLM\Software\Classes\CLSID\{DC989389-54FC-CFD8-84E8-B8114A1B8B97} High
Lop.com HKLM\Software\Classes\CLSID\{DC989389-54FC-CFD8-84E8-B8114A1B8B97}\InprocServer32 High
Lop.com HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC989389-54FC-CFD8-84E8-B8114A1B8B97} High
Lop.com HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC989389-54FC-CFD8-84E8-B8114A1B8B97} High
Lop.com HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC989389-54FC-CFD8-84E8-B8114A1B8B97}\iexplore High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\J8I7WC1N\_br[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\F814NDXZ\_investing[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\5IVJAA9X\_music[1].gif High
Known Bad Sites C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\5IVJAA9X\ads[1].js High
Known Bad Sites C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\O78945OD\get[1].html High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\O78945OD\_bgb[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\F814NDXZ\_casino[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\F814NDXZ\_mortgage[1].gif High
Known Bad Sites C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\O78945OD\ads[1].html High
Known Bad Sites C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\O78945OD\adc_dvp_man_468x60_12k[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\J8I7WC1N\_go[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\5IVJAA9X\_search[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\J8I7WC1N\_dots[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\F814NDXZ\_r1[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\O78945OD\_travel[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\F814NDXZ\_makemoney[1].gif High
Lop.com C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\O78945OD\_edge[1].gif High
Known Bad Sites C:\Documents and Settings\Denis\Local Settings\Temporary Internet Files\Content.IE5\5IVJAA9X\newpass2[1].html High
Known Bad Sites C:\Documents and Settings\Denis\Cookies\denis@searchweb2[1].txt High
Lop.com C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram\META CLOCK.exe High
Lop.com C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram\WIN GLUE.exe High
Lop.com C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram\trusttrans.exe High
Lop.com C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram\meta loud.exe High
Lop.com C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram\Soap ball.exe High
Lop.com C:\Documents and Settings\Catherine\Application Data\AIM LOG BEND\pitpstkn.exe High
Lop.com C:\Documents and Settings\Catherine\Application Data\Kind Date\PLUSEXIT.exe High
ISTbar C:\Documents and Settings\Denis\Mes documents\Divers download\DCOMbob.exe High
Lop.com C:\Documents and Settings\Denis\Application Data\AIM LOG BEND\gegujztu.exe High
Lop.com C:\Documents and Settings\Denis\Application Data\AIM LOG BEND\vmwrdxjl.exe High
Lop.com C:\Documents and Settings\Denis\Application Data\Kind Date\PLUSEXIT.exe High
Lop.com C:\Documents and Settings\clem\Application Data\AIM LOG BEND\dspbvfzx.exe High
Lop.com C:\Documents and Settings\clem\Application Data\AIM LOG BEND\eqhpivfo.exe High


Merci de vos conseils.
0
Réponse 13 / 27
Utilisateur anonyme
22 oct. 2005 à 13:50
re,
remet un hijack this et jte donne la manip

a+
0
Réponse 14 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 13:55
Le voici:

Logfile of HijackThis v1.99.1
Scan saved at 13:53:35, on 22/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gmzlvjbtimynxbebvfedofj.net/8eZOxJwc2pjLWlot0F/lXe3nCa38gMQiJor6ynS66c9OegcWAJes8c3ZiDESAXBn.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adoddyncfvt.com/8eZOxJwc2piOgcnZ1sBBzXa7dcfajOkmcwEa66Cb_Rs.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {DC989389-54FC-CFD8-84E8-B8114A1B8B97} - C:\DOCUME~1\Denis\APPLIC~1\KINDDA~1\PLUSEXIT.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Itch Gram Frag Tick] C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram\Soap ball.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [jugsglue] C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://fr.trendmicro-europe.com/enterprise/products/housecall_pre.php (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .chm: C:\Program Files\Internet Explorer\PLUGINS\NPCDP32.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D88F088-8FA4-4567-B624-6E5C71D5653C}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe



à tout de suite.
0
Réponse 15 / 27
Utilisateur anonyme
22 oct. 2005 à 14:25
Bonjour,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

Déconnecte toi d'Internet et ferme tout les programmes en cours.

 Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

 Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gmzlvjbtimynxbebvfedofj.net/8eZOxJwc2pjLWlot0F/lXe3nCa38gMQiJor6ynS66c9OegcWAJes8c3ZiDESAXBn.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adoddyncfvt.com/8eZOxJwc2piOgcnZ1sBBzXa7dcfajOkmcwEa66Cb_Rs.html

O2 - BHO: (no name) - {DC989389-54FC-CFD8-84E8-B8114A1B8B97} - C:\DOCUME~1\Denis\APPLIC~1\KINDDA~1\PLUSEXIT.exe

O4 - HKLM\..\Run: [Itch Gram Frag Tick] C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram

O4 - HKCU\..\Run: [jugsglue] C:\DOCUME~1\Denis\APPLIC~1\AIMLOG~1\web jump.exe

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

 Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:

C:\Documents and Settings\Denis\Application Data\Kind Date

C:\Documents and Settings\All Users\Application Data\HeartActiveItchGram

C:\Documents and Settings\clem\Application Data\AIM LOG BEND



-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\ A0544911919FC755.job


et valide en appuyant sur entrée

Fais pareil avec ceci:
del /a C:\WINDOWS\tasks\AF303A6491E3B440.job
del /a C:\WINDOWS\tasks\A1D9F688919A7024.job
del /a C:\WINDOWS\tasks\A0EB3BA7919CAF03.job
del /a C:\WINDOWS\tasks\B7AF7A64912CE490.job
del /a C:\WINDOWS\tasks\A82F839F91843A7B.job
del /a C:\WINDOWS\tasks\BA4F8E9A917C341E.job
del /a C:\WINDOWS\tasks\A3F66389915219C1.job
del /a C:\WINDOWS\tasks\A79355D09180D114.job
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Exécute cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

Précises moi ou en sont tes soucis…

A+
0
Réponse 16 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 17:26
Salut,
Voici le rapport HijackThis après toutes les manoeuvres.

Ca semble correct pour lui (?), sauf que je lance spyware doctor qui me trouve encore 2 infections.
Hijack serait-il plus limité? Il n'affiche pas les HKCU de Lop.com : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##lop.com High type\software\Microsoft

Est ce un excès de prudence inutile de spyware doctor pour satisfaire ses acheteurs ou vais-je sous peu retrouver mes problèmes de favoris indésirables que n'aurait pas détecté Hijack? Si tel est le cas, les spécialistes de hijack pourraient en discutter...
Bref, espérons que les problèmes sont résolus et merci les gars (balltrap et regis59 ) pour votre aide.


Logfile of HijackThis v1.99.1
Scan saved at 16:55:29, on 22/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WANADOO\CnxMon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
C:\Program Files\HijackThis 1.99.1\HijackThis.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMPOO\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: TREND MICRO HouseCall - {2B5EA4F8-620A-4A8B-B003-4C8C5EBEA826} - http://fr.trendmicro-europe.com/enterprise/products/housecall_pre.php (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .chm: C:\Program Files\Internet Explorer\PLUGINS\NPCDP32.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe


et le scan de spyware doctor (que j'ai arrété en cours)

Scan Results:
scan start: 22/10/2005 17:02:06
scan stop: 22/10/2005 17:15:05
scanned items: 78059
found items: 2
found and ignored: 0
tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Browser Defaults, Favorites and ZoneMap Scanner, ActiveX Scanner, Browser Activity Scanner, Disk Scanner



Infection Name Location Risk
Lop.com HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##lop.com High
Lop.com HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##www.lop.com High


a+, mais pas trop tôt j'espère.
0
Réponse 17 / 27
Utilisateur anonyme
22 oct. 2005 à 17:41
salut
passe ♪ spybot (2)version 1.4

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

Il te trouve quoi?

a+
0
Réponse 18 / 27
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
22 oct. 2005 à 18:05
salut
ouvre le bloc note et copie colle ceci entre les etoiles
**********
REGEDIT4
[-HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##lop.com High]

[-HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow##www.lop.com High]



************
enregistre le sur ton bureau et nomme le www.reg
et dans la case en dessous type met sur tous fichiers

la vas sur ton bureau et double clik sur se fichier que tu vient de faire et accepte la fusion avec le registre

0
Réponse 19 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 18:11
C'est bien, Spyboat ne trouve rien, mais avant il ne trouvait pas grand chose non plus!

J'essaye aussi la manip de balltrap.

A+.
0
Réponse 20 / 27
HPLC Messages postés 33 Date d'inscription mercredi 19 octobre 2005 Statut Membre Dernière intervention 1 février 2008
22 oct. 2005 à 18:19
Sur le bureau, j'ai accepté la fusion et il a changé d'icone et reste toujours sur le bureau. Maintenant, je fais quoi: je redemarre?
0

Discussions similaires

Retour à la ligne tchat.
sartorius1108 -
momolapince -

5 réponses
Quel est le lien de l'étiquette retour pour mon matériel Free ?
marmotte52 -
AigleBleu -

107 réponses
Retour ligne dans une concaténation EXCEL ?
bidouille74 -
FFF -

5 réponses
balise de retour à la ligne en php
2I++ -
Naguez Abderraouf -

5 réponses
syntaxe pour passer une ligne de code python
bansan -
ubranov -

1 réponse