trojan win32Fermé

Question

bonjour

je viens d'installer spybot depuis qqes jours,aprés que mon antivirus avast est détecté un trojan win32,agent gfz.

le pb a disparu en apparence;

ce matin en téléchargeant les mises a jour,il y avait 2 noms de trojan inscrit dans les fichiers à cocher.est-ce normal?

philae83 · Answer

bonjour,

* Télécharge  HijackThis  et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

philae83 · Answer

tu suis le tuto, le log sera dans le bloc note, tu fais un copier coller et tu le poste ici

philae83 · Answer

MERCI

je regarde ton rapport, et je reviens dans qq minutes

philae83 · Answer

re

tu es infecté par LOP
* Télécharge LopXPMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip


* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

philae83 · Answer

oui tu fermes hijackthis pour l'instant on n'en a pas besoin

pourquoi veux tu que lopxp soit un danger ? non ce n'en est pas un 

et d'être infectée, tu n'as pas peur pour tes mots de passe ????

ensuite ce n'est qu'un listing qu'il va te sortir, en aucun cas il ne fait une action. C'est ensuite que je te donnerais la marche à suivre

philae83 · Answer

je te donne un autre lien, il y a eu des modifs dans son site, je n'avais pas vu

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

kyliana · Answer

Rapport lopxpMH2 version 2.0 fait à 18:49:17,28 le 28/04/2007
C:\Documents and Settings\HP_Propriétaire\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Administrateur\Application Data

21/04/2007 17:58 <REP> .
21/04/2007 17:58 <REP> ..
21/04/2007 17:58 <REP> Apple Computer
21/04/2007 17:58 <REP> Identities
21/04/2007 17:58 <REP> Intervideo
21/04/2007 17:58 <REP> Microsoft
21/04/2007 17:58 <REP> SampleView
21/04/2007 17:58 <REP> Sun
21/04/2007 17:58 <REP> Symantec
21/04/2007 17:58 62 desktop.ini
1 fichier(s) 62 octets
9 Rép(s) 85 971 611 648 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

21/04/2007 17:58 <REP> .
21/04/2007 17:58 <REP> ..
21/04/2007 17:58 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
21/04/2007 17:58 <REP> Apple Computer
21/04/2007 17:58 <REP> ApplicationHistory
21/04/2007 17:58 <REP> Microsoft
21/04/2007 17:58 135 fusioncache.dat
21/04/2007 17:58 2 205 456 IconCache.db
2 fichier(s) 2 205 591 octets
6 Rép(s) 85 971 611 648 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\All Users\Application Data

01/01/2005 10:00 <REP> .
01/01/2005 10:00 <REP> ..
01/01/2005 12:15 <REP> Adobe
01/01/2005 12:20 <REP> Apple Computer
01/01/2005 11:43 <REP> Hewlett-Packard
01/01/2005 12:12 <REP> InstallShield
01/01/2005 12:11 <REP> InterVideo
15/01/2006 16:36 <REP> Messenger Plus!
01/01/2005 11:38 <REP> Microsoft
01/01/2005 17:16 <REP> Motive
01/01/2005 12:20 <REP> QuickTime
04/03/2007 15:45 <REP> Scr Mags Bold Mail
23/03/2006 19:11 <REP> Spybot - Search & Destroy
01/01/2005 14:07 <REP> Symantec
21/07/2006 19:07 <REP> Windows Genuine Advantage
04/03/2007 15:37 <REP> Windows Live Toolbar
01/01/2005 11:38 62 desktop.ini
01/01/2005 11:41 3 333 hpzinstall.log
2 fichier(s) 3 395 octets
16 Rép(s) 85 971 611 648 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Default User\Application Data

01/01/2005 10:00 <REP> .
01/01/2005 10:00 <REP> ..
16/06/2005 18:54 <REP> Apple Computer
01/01/2005 10:45 <REP> Identities
16/06/2005 18:54 <REP> Intervideo
01/01/2005 11:38 <REP> Microsoft
16/06/2005 18:54 <REP> SampleView
16/06/2005 18:54 <REP> Sun
16/06/2005 18:54 <REP> Symantec
01/01/2005 11:38 62 desktop.ini
1 fichier(s) 62 octets
9 Rép(s) 85 971 611 648 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

01/01/2005 11:38 <REP> .
01/01/2005 11:38 <REP> ..
16/06/2005 18:54 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
16/06/2005 18:54 <REP> Apple Computer
16/06/2005 18:54 <REP> ApplicationHistory
01/01/2005 10:44 <REP> Microsoft
16/06/2005 18:54 135 fusioncache.dat
16/06/2005 18:54 1 963 530 IconCache.db
2 fichier(s) 1 963 665 octets
6 Rép(s) 85 971 607 552 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\HP_PropriÃ©taire\Application Data

03/12/2006 22:14 <REP> .
03/12/2006 22:14 <REP> ..
03/12/2006 22:14 <REP> Macromedia
0 fichier(s) 0 octets
3 Rép(s) 85 971 607 552 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\HP_Propriétaire\Application Data

16/06/2005 19:02 <REP> .
16/06/2005 19:02 <REP> ..
16/06/2005 21:22 <REP> Adobe
16/06/2005 21:22 <REP> AdobeUM
16/06/2005 19:02 <REP> Apple Computer
03/03/2006 06:29 <REP> ArcSoft
24/12/2005 20:01 <REP> Block Checker
02/04/2007 18:38 <REP> DivX
16/06/2005 19:34 <REP> Help
16/06/2005 19:02 <REP> Identities
16/06/2005 19:02 <REP> Intervideo
16/01/2007 21:11 <REP> Lavasoft
08/07/2005 15:52 <REP> Leadertech
18/06/2006 18:53 <REP> LG Electronics
19/06/2005 20:11 <REP> Macromedia
16/06/2005 19:02 <REP> Microsoft
17/06/2005 21:03 <REP> Motive
16/01/2007 23:31 <REP> Mozilla
16/06/2005 19:02 <REP> SampleView
04/03/2007 15:45 <REP> Screenshot Sender
08/07/2005 15:53 <REP> Sonic
16/06/2005 19:02 <REP> Sun
16/06/2005 19:02 <REP> Symantec
04/03/2007 15:45 <REP> tons move dash
04/06/2006 10:17 <REP> vlc
16/06/2005 19:02 62 desktop.ini
20/06/2005 10:46 65 040 GDIPFONTCACHEV1.DAT
16/06/2005 20:06 8 382 wklnhst.dat
3 fichier(s) 73 484 octets
25 Rép(s) 85 971 607 552 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data

16/06/2005 19:02 <REP> .
16/06/2005 19:02 <REP> ..
16/06/2005 19:02 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
16/06/2005 21:22 <REP> Adobe
16/06/2005 19:02 <REP> Apple Computer
16/06/2005 19:02 <REP> ApplicationHistory
16/06/2005 19:34 <REP> Help
16/06/2005 21:21 <REP> HP
16/06/2005 21:21 <REP> IsolatedStorage
16/06/2005 19:02 <REP> Microsoft
16/01/2007 23:31 <REP> Mozilla
19/11/2005 15:36 64 512 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16/06/2005 19:02 138 fusioncache.dat
16/06/2005 20:06 64 936 GDIPFONTCACHEV1.DAT
16/06/2005 19:02 4 323 024 IconCache.db
4 fichier(s) 4 452 610 octets
11 Rép(s) 85 971 607 552 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\LocalService\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 85 971 607 552 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 85 971 607 552 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\NetworkService\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
22/10/2005 17:48 <REP> Symantec
0 fichier(s) 0 octets
4 Rép(s) 85 971 603 456 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 85 971 603 456 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

01/01/2005 09:59 <REP> .
01/01/2005 09:59 <REP> ..
16/06/2005 19:01 <REP> Apple Computer
01/01/2005 10:46 <REP> Identities
16/06/2005 19:01 <REP> Intervideo
01/01/2005 10:46 <REP> Microsoft
16/06/2005 19:01 <REP> SampleView
16/06/2005 19:01 <REP> Sun
16/06/2005 19:01 <REP> Symantec
01/01/2005 10:46 62 desktop.ini
1 fichier(s) 62 octets
9 Rép(s) 85 971 603 456 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

01/01/2005 10:46 <REP> .
01/01/2005 10:46 <REP> ..
16/06/2005 19:01 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
16/06/2005 19:01 <REP> Apple Computer
16/06/2005 19:01 <REP> ApplicationHistory
01/01/2005 10:46 <REP> Microsoft
16/06/2005 19:01 135 fusioncache.dat
16/06/2005 19:01 1 963 530 IconCache.db
2 fichier(s) 1 963 665 octets
6 Rép(s) 85 971 603 456 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\861993228CEA06DE.job
s @ "ˆ!× 8 c : \ d o c u m e ~ 1 \ h p _ p r o ~ 1 \ a p p l i c ~ 1 \ t o n s m o ~ 1 \ f l a p c o o l r e g s . e x e H P _ P r o p r i é t a i r e € 0 Ð <

C:\WINDOWS\Tasks\Symantec
Symantec inexploitable

C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Program Files

28/04/2007 18:21 <REP> .
28/04/2007 18:21 <REP> ..
01/01/2005 12:15 <REP> Adobe
04/03/2007 15:44 <REP> Adverts
23/03/2006 17:42 <REP> Alwil Software
26/03/2006 18:40 <REP> ArcSoft
16/06/2005 18:55 <REP> ATI Technologies
01/01/2005 10:42 <REP> ComPlus Applications
17/01/2007 16:03 <REP> Dial-Messenger
02/04/2007 18:37 <REP> DivX
21/11/2005 18:38 <REP> Easy Internet signup
20/04/2007 15:36 <REP> eChanblard
16/06/2005 19:59 <REP> Encarta
22/01/2006 17:27 <REP> Fichiers communs
22/10/2005 17:21 <REP> Free.fr
04/06/2006 02:47 <REP> Freeplayer
01/01/2005 17:16 <REP> Help and Support Additions
01/01/2005 11:43 <REP> Hewlett-Packard
28/04/2007 18:24 <REP> Hijackthis Version Française
01/01/2005 11:58 <REP> HP
13/02/2006 21:19 138 INSTALL.LOG
17/02/2007 04:01 <REP> Internet Explorer
16/06/2005 19:00 <REP> InterVideo
01/01/2005 12:20 <REP> iPod
01/01/2005 12:20 <REP> iTunes
01/01/2005 11:09 <REP> Java
24/04/2007 11:18 <REP> Kaspersky Lab
11/06/2006 16:12 <REP> LG Electronics
11/06/2006 16:11 <REP> LG PC Suite
22/10/2005 20:14 <REP> Messenger
04/03/2007 15:44 <REP> Messenger Plus! Live
04/06/2006 16:46 <REP> MessengerPlus! 3
16/06/2005 20:02 <REP> Microsoft AutoRoute
01/01/2005 10:45 <REP> microsoft frontpage
16/06/2005 19:50 <REP> microsoft money 2005
16/06/2005 20:11 <REP> Microsoft Office
16/06/2005 20:12 <REP> Microsoft Visual Studio
16/06/2005 19:45 <REP> Microsoft Works
16/06/2005 19:35 <REP> Microsoft Works Suite 2005
01/01/2005 10:43 <REP> Movie Maker
24/04/2007 23:05 <REP> Mozilla Firefox
11/07/2005 19:39 <REP> MP3 Player Utilities
11/06/2006 11:16 <REP> MSN
01/01/2005 10:41 <REP> MSN Gaming Zone
04/03/2007 15:44 <REP> MSN Messenger
01/01/2005 10:05 <REP> NetMeeting
22/01/2006 17:22 <REP> Norton AntiVirus
01/01/2005 10:42 <REP> Online Services
17/12/2006 04:01 <REP> Outlook Express
24/04/2007 17:20 <REP> PC-Doctor for Windows
16/06/2005 19:58 <REP> Picture It! Premium 10
01/01/2005 12:20 <REP> QuickTime
01/01/2005 17:25 <REP> Services en ligne
02/01/2005 01:27 <REP> SiS VGA Utilities V3.63
11/01/2006 23:03 <REP> Softwin
01/01/2005 12:08 <REP> Sonic
01/01/2005 12:08 <REP> Sonic RecordNow!
24/04/2007 16:50 <REP> Spybot - Search & Destroy
22/01/2006 17:26 <REP> Symantec
04/03/2007 15:45 <REP> tons move dash
04/03/2007 15:38 <REP> Windows Live Favorites
04/03/2007 15:38 <REP> Windows Live Toolbar
26/03/2006 18:40 <REP> Windows Media Player
01/01/2005 10:05 <REP> Windows NT
28/06/2006 11:58 <REP> WinRAR
01/01/2005 10:45 <REP> xerox
1 fichier(s) 138 octets
65 Rép(s) 85 971 587 072 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
netbios-wait.com REG_SZ
www.netbios-wait.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\HP_PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\EDRHQNHX.DEFAULT\HOSTPERM.1
host popup 1 webmessenger.msn.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
bold mail ooze free REG_SZ C:\Documents and Settings\All Users\Application Data\Scr Mags Bold Mail\BashSettings.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Bore funk REG_SZ C:\DOCUME~1\HP_PRO~1\APPLIC~1\TONSMO~1\HOLD TEST.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

kyliana · Answer

que dois-je faire maintenant?

philae83 · Answer

re



Note comment démarrer en mode sans échec 

https://docs.microsoft.com/en-us/?mfr=true


* Télécharge : - CCleaner 
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

*  Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

    REGEDIT4

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bold mail ooze free"=-    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bore funk"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"netbios-wait.com"=-
"www.netbios-wait.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-
   
    



Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer" 

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)***** 


* désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

adverts
tons move dash


* Assure toi d'avoir accès aux dossiers/fichiers cachés :

    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"


* recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\All Users\Application Data\ Scr Mags Bold Mail
C:\Documents and Settings\HP_Propriétaire\Application Data\ tons move dash
C:\Program Files\Adverts
C:\Program Files\ tons move dash


* double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

kyliana · Answer

re bonsoir,qq1 pourrait-il me dire la suite pour éliminer mon trojan car je peux aps laisser les installations ouvertes sans savoir de quoi ça retourne.

merci de m'aider?

philae83 · Answer

je t'ai déjà répondu d'une part que j'avais aussi une vie de famille, et de deux je viens de te préparer les manips juste au dessus

il faut être un peu patient(e) je ne suis pas connectée H24 et en prime nous faisons du BENEVOLAT ce qui a un peu tendance à être oublié !

philae83 · Answer

aprés il n'y a pas de processus pour cliquer sur option avance et décocher"effacer uniquement les fichiers..."

pourtant si 

Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

https://www.casimages.com/i/070428101750518076.png.html

kylianaa · Answer

aprés avoir appliquer tes instructions,voici le dernier rapport hidjack
 a savoir que j'ai pu supprimer en mode sans échec ,le dernier des 4 fichiers intitulé:C:\Program Files\ tons move dash


Logfile of HijackThis v1.99.1
Scan saved at 22:49:56, on 28/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [bold mail ooze free] C:\Documents and Settings\All Users\Application Data\Scr Mags Bold Mail\BashSettings.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Bore funk] C:\DOCUME~1\HP_PRO~1\APPLIC~1\TONSMO~1\HOLD TEST.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eChanblard\emule.exe -AutoStart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD22423F-5C89-42F4-8823-693AA230F510}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

philae83 · Answer

re

suis pas certaine que la manip est bien fonctionnée.

* lance hijackthis pour un "scan seulement" puis coche ces lignes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/... 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe 
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [bold mail ooze free] C:\Documents and Settings\All Users\Application Data\Scr Mags Bold Mail\BashSettings.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 
O4 - HKCU\..\Run: [Bore funk] C:\DOCUME~1\HP_PRO~1\APPLIC~1\TONSMO~1\HOLD TEST.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab 
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll 

* ferme toutes les applications ouvertes y compris Internet Explorer et clique sur "fixer objet"

* relance lopxpmh, et reposte le rapport ainsi qu'un nouveau rapport hijackthis

philae83 · Answer

c'est bien ce que je pensais,

il faut que tu reprennes la procédure tranquillement et que tu demandes si tu ne comprends pas qq chose. Si elle est faite correctement, elle fonctionne très bien

philae83 · Answer

concernant ceci :

* Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bold mail ooze free"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bore funk"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"netbios-wait.com"=-
"www.netbios-wait.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer" 


* double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" 



as tu eu le message ou non ?

philae83 · Answer

bon ok, mais alors tu n'as pas fixer les lignes dans hijackthis comme demandé, là j'en suis certaine elles sont tjs là

philae83 · Answer

suis encore présente pour le moment, tu fais comme tu veux sinon demain

kylianaa · Answer

j'ai désinstallé spybot redémarré mon pc puis refait un scan hidjack,coché les lignes que tu m'avais noté puis fixer les objets;

voici le rapport hidjack:

Logfile of HijackThis v1.99.1
Scan saved at 00:56:28, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eChanblard\emule.exe -AutoStart
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD22423F-5C89-42F4-8823-693AA230F510}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

voici le rapport lop:

Rapport lopxpMH2 version 2.0 fait à 0:59:29,17 le 29/04/2007
C:\Documents and Settings\HP_Propriétaire\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Administrateur\Application Data

21/04/2007 17:58 <REP> .
21/04/2007 17:58 <REP> ..
21/04/2007 17:58 <REP> Apple Computer
21/04/2007 17:58 <REP> Identities
21/04/2007 17:58 <REP> Intervideo
21/04/2007 17:58 <REP> Microsoft
21/04/2007 17:58 <REP> SampleView
21/04/2007 17:58 <REP> Sun
21/04/2007 17:58 <REP> Symantec
21/04/2007 17:58 62 desktop.ini
1 fichier(s) 62 octets
9 Rép(s) 88 438 890 496 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

21/04/2007 17:58 <REP> .
21/04/2007 17:58 <REP> ..
21/04/2007 17:58 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
21/04/2007 17:58 <REP> Apple Computer
21/04/2007 17:58 <REP> ApplicationHistory
21/04/2007 17:58 <REP> Microsoft
21/04/2007 17:58 135 fusioncache.dat
21/04/2007 17:58 2 205 456 IconCache.db
2 fichier(s) 2 205 591 octets
6 Rép(s) 88 438 890 496 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\All Users\Application Data

01/01/2005 10:00 <REP> .
01/01/2005 10:00 <REP> ..
01/01/2005 12:15 <REP> Adobe
01/01/2005 12:20 <REP> Apple Computer
01/01/2005 11:43 <REP> Hewlett-Packard
01/01/2005 12:12 <REP> InstallShield
01/01/2005 12:11 <REP> InterVideo
15/01/2006 16:36 <REP> Messenger Plus!
01/01/2005 11:38 <REP> Microsoft
01/01/2005 17:16 <REP> Motive
01/01/2005 12:20 <REP> QuickTime
04/03/2007 15:45 <REP> Scr Mags Bold Mail
23/03/2006 19:11 <REP> Spybot - Search & Destroy
01/01/2005 14:07 <REP> Symantec
21/07/2006 19:07 <REP> Windows Genuine Advantage
04/03/2007 15:37 <REP> Windows Live Toolbar
01/01/2005 11:38 62 desktop.ini
01/01/2005 11:41 3 333 hpzinstall.log
2 fichier(s) 3 395 octets
16 Rép(s) 88 438 890 496 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Default User\Application Data

01/01/2005 10:00 <REP> .
01/01/2005 10:00 <REP> ..
16/06/2005 18:54 <REP> Apple Computer
01/01/2005 10:45 <REP> Identities
16/06/2005 18:54 <REP> Intervideo
01/01/2005 11:38 <REP> Microsoft
16/06/2005 18:54 <REP> SampleView
16/06/2005 18:54 <REP> Sun
16/06/2005 18:54 <REP> Symantec
01/01/2005 11:38 62 desktop.ini
1 fichier(s) 62 octets
9 Rép(s) 88 438 890 496 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

01/01/2005 11:38 <REP> .
01/01/2005 11:38 <REP> ..
16/06/2005 18:54 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
16/06/2005 18:54 <REP> Apple Computer
16/06/2005 18:54 <REP> ApplicationHistory
01/01/2005 10:44 <REP> Microsoft
16/06/2005 18:54 135 fusioncache.dat
16/06/2005 18:54 1 963 530 IconCache.db
2 fichier(s) 1 963 665 octets
6 Rép(s) 88 438 886 400 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\HP_PropriÃ©taire\Application Data

03/12/2006 22:14 <REP> .
03/12/2006 22:14 <REP> ..
03/12/2006 22:14 <REP> Macromedia
0 fichier(s) 0 octets
3 Rép(s) 88 438 886 400 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\HP_Propriétaire\Application Data

16/06/2005 19:02 <REP> .
16/06/2005 19:02 <REP> ..
16/06/2005 21:22 <REP> Adobe
16/06/2005 21:22 <REP> AdobeUM
16/06/2005 19:02 <REP> Apple Computer
03/03/2006 06:29 <REP> ArcSoft
24/12/2005 20:01 <REP> Block Checker
02/04/2007 18:38 <REP> DivX
16/06/2005 19:34 <REP> Help
16/06/2005 19:02 <REP> Identities
16/06/2005 19:02 <REP> Intervideo
16/01/2007 21:11 <REP> Lavasoft
08/07/2005 15:52 <REP> Leadertech
18/06/2006 18:53 <REP> LG Electronics
19/06/2005 20:11 <REP> Macromedia
16/06/2005 19:02 <REP> Microsoft
17/06/2005 21:03 <REP> Motive
16/01/2007 23:31 <REP> Mozilla
16/06/2005 19:02 <REP> SampleView
04/03/2007 15:45 <REP> Screenshot Sender
08/07/2005 15:53 <REP> Sonic
16/06/2005 19:02 <REP> Sun
16/06/2005 19:02 <REP> Symantec
04/03/2007 15:45 <REP> tons move dash
04/06/2006 10:17 <REP> vlc
16/06/2005 19:02 62 desktop.ini
20/06/2005 10:46 65 040 GDIPFONTCACHEV1.DAT
16/06/2005 20:06 8 382 wklnhst.dat
3 fichier(s) 73 484 octets
25 Rép(s) 88 438 886 400 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data

16/06/2005 19:02 <REP> .
16/06/2005 19:02 <REP> ..
16/06/2005 19:02 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
16/06/2005 21:22 <REP> Adobe
16/06/2005 19:02 <REP> Apple Computer
16/06/2005 19:02 <REP> ApplicationHistory
16/06/2005 19:34 <REP> Help
16/06/2005 21:21 <REP> HP
16/06/2005 21:21 <REP> IsolatedStorage
16/06/2005 19:02 <REP> Microsoft
16/01/2007 23:31 <REP> Mozilla
19/11/2005 15:36 64 512 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
16/06/2005 19:02 138 fusioncache.dat
16/06/2005 20:06 64 936 GDIPFONTCACHEV1.DAT
16/06/2005 19:02 4 323 024 IconCache.db
4 fichier(s) 4 452 610 octets
11 Rép(s) 88 438 886 400 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\LocalService\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 88 438 886 400 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 88 438 886 400 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\NetworkService\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
22/10/2005 17:48 <REP> Symantec
0 fichier(s) 0 octets
4 Rép(s) 88 438 882 304 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

01/01/2005 10:47 <REP> .
01/01/2005 10:47 <REP> ..
01/01/2005 10:47 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 88 438 882 304 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

01/01/2005 09:59 <REP> .
01/01/2005 09:59 <REP> ..
16/06/2005 19:01 <REP> Apple Computer
01/01/2005 10:46 <REP> Identities
16/06/2005 19:01 <REP> Intervideo
01/01/2005 10:46 <REP> Microsoft
16/06/2005 19:01 <REP> SampleView
16/06/2005 19:01 <REP> Sun
16/06/2005 19:01 <REP> Symantec
01/01/2005 10:46 62 desktop.ini
1 fichier(s) 62 octets
9 Rép(s) 88 438 882 304 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

01/01/2005 10:46 <REP> .
01/01/2005 10:46 <REP> ..
16/06/2005 19:01 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
16/06/2005 19:01 <REP> Apple Computer
16/06/2005 19:01 <REP> ApplicationHistory
01/01/2005 10:46 <REP> Microsoft
16/06/2005 19:01 135 fusioncache.dat
16/06/2005 19:01 1 963 530 IconCache.db
2 fichier(s) 1 963 665 octets
6 Rép(s) 88 438 882 304 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\861993228CEA06DE.job
s @ "ˆ!× 8 c : \ d o c u m e ~ 1 \ h p _ p r o ~ 1 \ a p p l i c ~ 1 \ t o n s m o ~ 1 \ f l a p c o o l r e g s . e x e H P _ P r o p r i é t a i r e € 0 Ð <

C:\WINDOWS\Tasks\Symantec
Symantec inexploitable

C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est 34AE-7632

Répertoire de C:\Program Files

28/04/2007 22:43 <REP> .
28/04/2007 22:43 <REP> ..
01/01/2005 12:15 <REP> Adobe
04/03/2007 15:44 <REP> Adverts
23/03/2006 17:42 <REP> Alwil Software
26/03/2006 18:40 <REP> ArcSoft
16/06/2005 18:55 <REP> ATI Technologies
28/04/2007 21:55 <REP> CCleaner
01/01/2005 10:42 <REP> ComPlus Applications
17/01/2007 16:03 <REP> Dial-Messenger
02/04/2007 18:37 <REP> DivX
21/11/2005 18:38 <REP> Easy Internet signup
20/04/2007 15:36 <REP> eChanblard
16/06/2005 19:59 <REP> Encarta
22/01/2006 17:27 <REP> Fichiers communs
22/10/2005 17:21 <REP> Free.fr
04/06/2006 02:47 <REP> Freeplayer
01/01/2005 17:16 <REP> Help and Support Additions
01/01/2005 11:43 <REP> Hewlett-Packard
29/04/2007 00:56 <REP> Hijackthis Version Française
01/01/2005 11:58 <REP> HP
13/02/2006 21:19 138 INSTALL.LOG
17/02/2007 04:01 <REP> Internet Explorer
16/06/2005 19:00 <REP> InterVideo
01/01/2005 12:20 <REP> iPod
01/01/2005 12:20 <REP> iTunes
01/01/2005 11:09 <REP> Java
24/04/2007 11:18 <REP> Kaspersky Lab
11/06/2006 16:12 <REP> LG Electronics
11/06/2006 16:11 <REP> LG PC Suite
22/10/2005 20:14 <REP> Messenger
04/03/2007 15:44 <REP> Messenger Plus! Live
04/06/2006 16:46 <REP> MessengerPlus! 3
16/06/2005 20:02 <REP> Microsoft AutoRoute
01/01/2005 10:45 <REP> microsoft frontpage
16/06/2005 19:50 <REP> microsoft money 2005
16/06/2005 20:11 <REP> Microsoft Office
16/06/2005 20:12 <REP> Microsoft Visual Studio
16/06/2005 19:45 <REP> Microsoft Works
16/06/2005 19:35 <REP> Microsoft Works Suite 2005
01/01/2005 10:43 <REP> Movie Maker
24/04/2007 23:05 <REP> Mozilla Firefox
11/07/2005 19:39 <REP> MP3 Player Utilities
11/06/2006 11:16 <REP> MSN
01/01/2005 10:41 <REP> MSN Gaming Zone
04/03/2007 15:44 <REP> MSN Messenger
01/01/2005 10:05 <REP> NetMeeting
22/01/2006 17:22 <REP> Norton AntiVirus
01/01/2005 10:42 <REP> Online Services
17/12/2006 04:01 <REP> Outlook Express
24/04/2007 17:20 <REP> PC-Doctor for Windows
16/06/2005 19:58 <REP> Picture It! Premium 10
01/01/2005 12:20 <REP> QuickTime
01/01/2005 17:25 <REP> Services en ligne
02/01/2005 01:27 <REP> SiS VGA Utilities V3.63
11/01/2006 23:03 <REP> Softwin
01/01/2005 12:08 <REP> Sonic
01/01/2005 12:08 <REP> Sonic RecordNow!
29/04/2007 00:40 <REP> Spybot - Search & Destroy
22/01/2006 17:26 <REP> Symantec
04/03/2007 15:38 <REP> Windows Live Favorites
04/03/2007 15:38 <REP> Windows Live Toolbar
26/03/2006 18:40 <REP> Windows Media Player
01/01/2005 10:05 <REP> Windows NT
28/06/2006 11:58 <REP> WinRAR
01/01/2005 10:45 <REP> xerox
28/04/2007 22:11 <REP> Yahoo!
1 fichier(s) 138 octets
66 Rép(s) 88 438 878 208 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\HP_PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\EDRHQNHX.DEFAULT\HOSTPERM.1
host popup 1 webmessenger.msn.com

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

philae83 · Answer

C'est presque tout bon

reste ceci à supprimer

c:\programfiles\Adverts ----le dossier

philae83 · Answer

ok

as tu encore des soucis ?

philae83 · Answer

On ne formate pas pour si peu, je te rassure remet spybot et son résident. Néanmoins tu peux aller lire ici * Pour améliorer la sécurité de ton PC prend quelques instants pour lire CECI * supprime lopxpMH ET * Dénonce ton infection pour faire condamner les auteurs. Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection : - Voir les règles du forum : https://malwarecomplaints.info/ - Après t'être enregistré à l'aide du bouton en haut se nommant "Register" Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age" Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..). La tienne = ****** ---> https://malwarecomplaints.info/ Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..) Indique aussi le nom du Forum qui t'a aidé, CommentCaMarche * met ton sujet en RESOLU stp, merci. B on WE

Trojan win32

22 réponses

Discussions similaires

Newsletters