probleme de virus , pc infecté Win32 cloaker

> Tous les forums > Sécurité

Statut du sujet : NON RESOLU

cylon

Posté le 19/06/2008 @ 20:49

Petit astucien

14 Messages

bonjour mon message ne va pas etre tres original.... j'ai un pc infecté par plusieurs virus et je sollicite votre aide pour en venir à bout:

il s'agit d'un pc portable sous win xp édition familiale sp1 mis à jour sp2, antivirus avast4.7

l'analyse antivirus a révélée la présence de 4 fichiers : win32:rootkit-gen , win32:Dial-1112, win32:winfixerAE, win32:Cloaker

les 3 premiers ont à priori pu etre effacés mais le quatrieme résiste meme à une mise en quarantaine.

mon systeme est ralenti , j'ai plusieurs bug avec XP , le redemarrage du pc plante , divers programmes ne fonctionnent plus...

j'ai parcouru le forum pour trouver un cas similaire et resoudre le probleme mais l'installation de Malwarebytes Anti-Malware ne s'est pas faite correctement... qd je lance le programme voici le message qui s'affiche:

erreur d'execution 372: impossible de charger le controle 'vbalgrid' à partir de vbalsgrid6.ocx. votre version de vbalsgrid6.ocx est peut etre obsolete. verifiez que vous utilisez la version du controle fournie avec votre application.

je colle un rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:53, on 06/19/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
C:\Program Files\USB FlashDisk\UFD Utility 2003\UFDTool.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Spamicillin\Spamicillin.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {AE34F63F-F623-DB24-363A-B5783B314131} - C:\DOCUME~1\XXXX~1\APPLIC~1\STARTS~1\Burncopy.exe (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [UFD Monitor9382] C:\Program Files\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
O4 - HKLM\..\Run: [UFD Utility9382] C:\Program Files\USB FlashDisk\UFD Utility 2003\UFDTool.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Info Barb] C:\DOCUME~1\XXXX~1\APPLIC~1\UP64BA~1\Intrastupidcash.exe
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [Info Barb] C:\DOCUME~1\XXXX~1\APPLIC~1\UP64BA~1\Intrastupidcash.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3309706009-192357780-3194372149-1005 Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe (User '?')
O4 - Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?120c3b6cbb69409fbaf105238132c93b
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?120c3b6cbb69409fbaf105238132c93b
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: MobileJeux - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\System32\MobileJeux (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2353fb04b7ced84e9017/netzip/RdxIE601_fr.cab
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/IA/sysia32svc_FR_XP.cab
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_FR_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66E4014B-BF29-4F4F-B2A1-704A7B619C90}: NameServer = 192.168.1.14
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O24 - Desktop Component 0: (no name) - http://us.js1.yimg.com/us.yimg.com/lib/g/ylib_dom.js
O24 - Desktop Component 1: (no name) - http://adsl.free.fr/img/logoprint.gif

--
End of file - 11447 bytes

merci d'avance pour votre aide

Publicité

nico_dodo

Posté le 19/06/2008 à 22:52

Groupe Sécurité

2609 Messages

Bonsoir,

je regarde ton rapport et te tiens au courant pour la suite.

nico_dodo

Posté le 19/06/2008 à 23:06

Groupe Sécurité

2609 Messages

Re,

le rapport HijackThis montre que ta tentative de passage au SP2 n'a pas fonctionné ou alors tu as édité le rapport avant.

Sais tu où est situé ce virus win32:Cloaker. A quel emplacement sur ton PC ?

Ensuite sais tu as quoi correspond ceci : D:\NBDriver.exe

Si tu ne sais pas, fait le analyser comme expliqué juste après :

Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
Cliquer sur Outils > Options des dossiers > Affichage.
Sélectionner :
- cocher : Afficher les fichiers et dossiers cachés.
- décocher : Masquer les extensions des fichiers dont le type est connu.
- décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

Clique sur Appliquer et Ok

Cliquer sur ce logo
Cliquer sur Parcourir et indique le chemin du fichier suivant : D:\NBDriver.exe
Cliquer sur Send File
Au message Sending File, ne pas fermer cette fenêtre.
Si vous avez un message Current Statue: queued : Patience!
Au bout de quelques minutes, vous aurez dans l'encadré: Current status: finishedeued waiting scanning
Faire un copier/coller du résultat et postez-le dans votre prochain message.

On continue...

Télécharge Navilog1 de Il-Mafioso,
Installe-le en cliquant sur le fichier Navilog1.exe,
Une fois l'installation terminée, le fix s'exécutera automatiquement. Si ce n'est pas le cas, double-cliquer dans ce cas sur le raccourci Navilog1 présent sur le bureau.
Laisse-toi guider par les indications qui apparaissent.
Au menu principal, choisis 1 et valide par Entrée. Ne fais pas le choix 2,3 ou 4 sans l'avis de la personne qui t'aide.
Patiente jusqu'au message : *** Analyse terminée le ..... ***
Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité dans ta prochaine réponse.
Referme le bloc-note.
Le rapport sera sauvegardé dans le dossier sous fixnavi.txt.

Ensuite ...

Télécharge lopS&D d'Eric71 et AngelDark,
Double-clique sur le fichier téléchargé pour installer le logiciel.
Double-clique sur le racourci créé pour lancer le programme,
Choisis la langue,
Sélectionne l'option 1. L'outil scanne plusieurs dossiers sensibles. Cela peut durer quelques minutes. Laisse l'analyse se dérouler.
Le bloc-note va s'ouvrir. Poste son contenu dans ta prochaine réponse.

A plus tard avec tous ces rapports

cylon

Posté le 20/06/2008 à 16:43

Petit astucien

14 Messages

salut Nico_dodo et merci pour ton aide

je ne sais pas ce qu'est ce fichier d:\nbdriver.exe , d: est mon lecteur dvd et il n'y avait aucun disque à l'interieur lors du scan hijack , je ne trouve pas ce fichier

le fichier win32:cloaker est situé ici: c:\windows\system32\ufhccyvesg.exe

voici le rapport navilog :

Search Navipromo version 3.5.8 commencé le 06/20/2008 à 14:47:23,78

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "XXXXX"

Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Windows Live Favorites pour Windows Live Toolbar

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\XXXXX\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\XXXXX\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\XXXXX\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\XXXXX\locals~1\applic~1" *

*** Recherche fichiers ***

C:\WINDOWS\Downloaded Program Files\EGAUTH.inf trouvé !
C:\WINDOWS\Downloaded Program Files\Netslv32.inf trouvé !
C:\WINDOWS\Downloaded Program Files\nethv32.inf trouvé !
C:\WINDOWS\tmlpcert2005 trouvé !
C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\eglivecam_1029.dll trouvé !
C:\WINDOWS\system32\eglivecam_1030.dll trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

pjbshmwrc_navtmp.dat trouvé !
ufhccyvesg_nav.dat trouvé !
ufhccyvesg_navps.dat trouvé !

* Dans "C:\Documents and Settings\XXXXX\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 06/20/2008 à 14:52:02,71 ***

Comme je l'ai dit dans mon 1er message XP bug notamment l'explorateur de fichiers qui refuse de faire des copier/coller je n'ai pas encore trouvé le moyen d'installer LopS&D mais je cherche...

Modifié par cylon le 20/06/2008 16:58

nico_dodo

Posté le 20/06/2008 à 17:01

Groupe Sécurité

2609 Messages

Bonjour,

Nettoie déjà la première infection. Fait ce qui suit :

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Lance HijackThis pour un scan seulement

Puis coche les lignes suivantes

-----

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll (file missing)
O2 - BHO: (no name) - {AE34F63F-F623-DB24-363A-B5783B314131} - C:\DOCUME~1\XXXX~1\APPLIC~1\STARTS~1\Burncopy.exe (file missing)
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKCU\..\Run: [Info Barb] C:\DOCUME~1\XXXX~1\APPLIC~1\UP64BA~1\Intrastupidcash.exe
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [Info Barb] C:\DOCUME~1\XXXX~1\APPLIC~1\UP64BA~1\Intrastupidcash.exe (User '?')
O9 - Extra button: MobileJeux - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\System32\MobileJeux (file missing)
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2353fb04b7ced84e9017/netzip/RdxIE601_fr.cab
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/IA/sysia32svc_FR_XP.cab
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_FR_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_FR_XP.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab

-----

Ferme toutes les fenêtres Windows ... sauf le logiciel HijackThis et clique sur Fixer l'objet

poste un nouveau rapport HijackThis.

Si LOP S&D ne fonctionne toujours pas, utilise ce qui suit :

Télécharge lopxpMH2 sur ton bureau.

Décompresse le et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

Peux tu me dire si tu connais les éléments suivants :

ProxyServer = http=ZillaPopupKiller:8100
C:\Program Files\Spamicillin\Spamicillin.exe
Desktop Component 0: (no name) - http://us.js1.yimg.com/us.yimg.com/lib/g/ylib_dom.js

Modifié par nico_dodo le 20/06/2008 17:57

cylon

Posté le 20/06/2008 à 18:10

Petit astucien

14 Messages

salut Nico_dodo et merci:

rapport hijiack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:55, on 06/20/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
C:\Program Files\USB FlashDisk\UFD Utility 2003\UFDTool.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\Program Files\Spamicillin\Spamicillin.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {AE34F63F-F623-DB24-363A-B5783B314131} - C:\DOCUME~1\XXXX~1\APPLIC~1\STARTS~1\Burncopy.exe (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [UFD Monitor9382] C:\Program Files\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
O4 - HKLM\..\Run: [UFD Utility9382] C:\Program Files\USB FlashDisk\UFD Utility 2003\UFDTool.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Info Barb] C:\DOCUME~1\XXXX~1\APPLIC~1\UP64BA~1\Intrastupidcash.exe
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [Info Barb] C:\DOCUME~1\XXXX~1\APPLIC~1\UP64BA~1\Intrastupidcash.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3309706009-192357780-3194372149-1005 Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe (User '?')
O4 - Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?120c3b6cbb69409fbaf105238132c93b
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?120c3b6cbb69409fbaf105238132c93b
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: MobileJeux - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\System32\MobileJeux (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2353fb04b7ced84e9017/netzip/RdxIE601_fr.cab
O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.41optYplkOmji/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66E4014B-BF29-4F4F-B2A1-704A7B619C90}: NameServer = 192.168.1.14
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O24 - Desktop Component 0: (no name) - http://us.js1.yimg.com/us.yimg.com/lib/g/ylib_dom.js
O24 - Desktop Component 1: (no name) - http://adsl.free.fr/img/logoprint.gif

--
End of file - 10878 bytes

nico_dodo

Posté le 20/06/2008 à 18:12

Groupe Sécurité

2609 Messages

J'ai pas mal édité mon message précédent, regarde le bien et fait bien tout ce qui est indiqué.

Je t'ai également envoyé un message privé, regarde le

Modifié par nico_dodo le 20/06/2008 18:13

cylon

Posté le 20/06/2008 à 18:14

Petit astucien

14 Messages

ok je fais tout ça

à+

cylon

Posté le 20/06/2008 à 19:37

Petit astucien

14 Messages

Voici le rapport de lopXPMH2 :

Rapport lopxpMH2 version 2.0 fait à 19:16:24,40 le 06/20/2008
C:\Documents and Settings\XXXX\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\All Users\Application Data

12/22/2003 13:11 .
12/22/2003 13:11 ..
11/12/2005 22:50 Adobe
10/11/2007 21:10 Apple
06/20/2006 23:55 Apple Computer
12/22/2003 13:52 CyberLink
09/25/2004 17:50 elseamenintrahole
07/08/2006 10:37 Google
11/12/2005 22:45 Macrovision
06/19/2008 01:34 Malwarebytes
05/08/2005 16:21 Messenger Plus!
12/22/2003 13:11 Microsoft
02/10/2005 00:55 MSN Toolbar Suite
03/01/2004 23:51 MSN6
03/10/2004 21:17 QuickTime
02/16/2008 20:03 Seagate
05/31/2004 21:44 Spybot - Search & Destroy
02/24/2008 20:15 TEMP
12/25/2007 21:08 Windows Live Toolbar
12/22/2003 13:12 62 desktop.ini
12/09/2007 20:58 0 LauncherAccess.dt
12/08/2007 18:07 1 787 QTSBandwidthCache
3 fichier(s) 1 849 octets
19 Rép(s) 11 569 504 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\Default User\Application Data

12/22/2003 13:11 .
12/22/2003 13:11 ..
12/22/2003 13:23 Identities
12/22/2003 13:11 Microsoft
12/22/2003 13:12 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 11 569 504 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\Default User\Local Settings\Application Data

12/22/2003 13:12 .
12/22/2003 13:12 ..
03/01/2004 23:22 Microsoft
03/01/2004 23:22 2 660 108 IconCache.db
1 fichier(s) 2 660 108 octets
3 Rép(s) 11 569 504 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\XXXX\Application Data

03/01/2004 23:22 .
03/01/2004 23:22 ..
11/12/2005 22:50 Adobe
12/02/2005 00:08 Ahead
06/21/2006 00:13 Apple Computer
04/11/2004 23:30 CyberLink
06/11/2006 22:53 dvdcss
07/07/2005 19:40 Google
06/19/2004 09:58 Help
03/01/2004 23:22 Identities
01/02/2005 00:09 Lavasoft
05/29/2004 00:16 Macromedia
03/01/2004 23:22 Microsoft
04/04/2004 15:04 Microsoft Web Folders
01/10/2005 00:09 MobileJeux
06/11/2006 22:23 Mozilla
03/01/2004 23:51 MSN6
01/10/2005 00:14 NouveautesMP3
09/23/2004 19:45 Real
08/04/2005 11:00 SpamExtract
10/08/2005 08:00 Start Style
10/18/2004 19:05 up 64 bash
06/11/2006 23:00 vlc
03/01/2004 23:22 62 desktop.ini
1 fichier(s) 62 octets
23 Rép(s) 11 569 504 256 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\XXXX\Local Settings\Application Data

03/01/2004 23:22 .
03/01/2004 23:22 ..
10/11/2007 21:11 Apple
06/21/2006 00:13 Apple Computer
08/23/2006 23:17 ApplicationHistory
01/01/2005 23:37 Google
06/19/2004 09:58 Help
05/30/2004 16:20 Identities
03/01/2004 23:22 Microsoft
06/11/2006 22:24 Mozilla
03/01/2004 23:56 76 288 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08/23/2006 23:17 138 fusioncache.dat
08/23/2006 23:38 30 312 GDIPFONTCACHEV1.DAT
09/24/2004 00:58 5 339 344 IconCache.db
4 fichier(s) 5 446 082 octets
10 Rép(s) 11 569 500 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\LocalService\Application Data

12/22/2003 13:26 .
12/22/2003 13:26 ..
09/26/2004 20:11 Help
12/22/2003 13:26 Microsoft
0 fichier(s) 0 octets
4 Rép(s) 11 569 500 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\LocalService\Local Settings\Application Data

Répertoire de C:\DOCUME~1\NetworkService\Application Data

12/22/2003 13:26 .
12/22/2003 13:26 ..
12/22/2003 13:26 Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 569 500 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\NetworkService\Local Settings\Application Data

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

12/22/2003 13:25 .
12/22/2003 13:25 ..
12/22/2003 13:25 Identities
12/22/2003 13:25 Microsoft
12/22/2003 13:25 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 11 569 500 160 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

12/22/2003 13:25 .
12/22/2003 13:25 ..
10/23/2007 22:01 Apple
03/01/2004 23:22 Microsoft
03/01/2004 23:22 2 660 108 IconCache.db
1 fichier(s) 2 660 108 octets
4 Rép(s) 11 569 500 160 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\ADE6CF69918142B1.job
% c : \ p r o g r a ~ 1 \ u p 6 4 b a ~ 1 \ J u n k W e b A r m y . e x e XXXX € 0 Ñ

C:\WINDOWS\Tasks\AFE2E3E7918D9E63.job
s "ˆ!Õ ] 7 c : \ d o c u m e ~ 1 \ XXX ~ 1 \ a p p l i c ~ 1 \ u p 6 4 b a ~ 1 \ J u n k W e b A r m y . e x e XXXX € 0 Í <

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
€J¸…€\BJ¿%Æ/€pF ê <
s €!Ø : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 ×

C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\Program Files

06/20/2008 13:33 .
06/20/2008 13:33 ..
02/10/2005 00:55 Adaware
11/12/2005 22:40 Adobe
11/12/2006 18:56 Ahead
02/24/2008 20:11 8 965 619 all2mp3.exe
03/10/2007 22:43 Alwil Software
12/31/2006 21:13 1 039 798 antivirus.zip
10/11/2007 21:10 Apple Software Update
02/06/2006 23:35 AudioConvert
01/01/2007 03:13 AxBx
11/28/2006 23:15 Casperlab Software
11/21/2005 18:37 CCleaner
09/06/2004 13:55 CDex_140b9
05/07/2005 18:29 Cliprex Lite
05/28/2004 23:03 Common Files
12/22/2003 13:52 CyberLink
08/23/2006 23:36 Disc2Phone
06/27/2006 00:22 DivX
06/11/2006 22:19 15 032 912 DivXPlay.exe
01/08/2005 21:21 Elaborate Bytes
04/27/2008 19:46 eMule
12/31/2006 21:11 Fichiers communs
04/27/2008 20:29 6 626 080 FirefoxGoogleToolbarSetup.exe
06/11/2004 08:57 Free(2).fr
06/12/2004 16:53 Free.fr
06/11/2006 22:51 8 863 685 Freeplayer-Win32-20050905.exe
01/28/2007 19:37 Google
12/22/2003 13:30 Intel
08/23/2006 23:22 Internet Explorer
10/11/2007 21:19 iPod
06/16/2004 23:23 IrfanView
10/11/2007 21:20 iTunes
10/11/2007 13:51 51 422 520 iTunes743Setup.exe
06/20/2006 23:50 36 465 208 iTunesSetup.exe
06/24/2007 20:47 Java
06/24/2007 20:50 Java Web Start
07/24/2005 22:58 Lavasoft
02/24/2008 20:13 LitexMedia
06/20/2008 19:14 Malwarebytes' Anti-Malware
05/05/2005 20:53 Matroska Pack
02/06/2006 23:35 Messenger
09/30/2006 18:09 Messenger Plus! 3
04/04/2004 15:03 microsoft frontpage
04/04/2004 15:04 Microsoft Office
04/04/2004 15:06 Microsoft Visual Studio
02/06/2006 23:39 Movie Maker
06/16/2008 20:36 Mozilla Firefox
09/06/2004 11:34 MSN
12/22/2003 13:17 MSN Gaming Zone
12/25/2007 21:02 MSN Messenger
02/16/2008 20:00 MSXML 6.0
06/20/2008 17:11 Navilog1
05/28/2004 23:16 NetMeeting
12/31/2006 21:11 Network Associates
02/06/2006 23:35 NimoCodec Pack
09/30/2006 12:43 536 200 no-popup.zip
12/22/2003 13:32 NSC
05/28/2004 23:15 Outlook Express
12/22/2003 13:39 Pinnacle
10/11/2007 21:16 QuickTime
12/09/2007 20:34 Samsung
02/16/2008 20:03 Seagate
12/22/2003 13:20 Services en ligne
03/10/2007 22:42 13 446 648 setupfre.exe
05/12/2008 20:58 SigmaPlot
09/04/2005 10:04 SlySoft
09/30/2006 12:34 Spamicillin
09/30/2006 12:34 1 193 266 spamicillin.exe
12/16/2007 21:45 Spybot - Search & Destroy
12/31/2004 20:39 4 354 084 Spybotsd13.exe
09/06/2004 10:26 Sygate
12/22/2003 13:33 Synaptics
06/19/2008 01:26 Trend Micro
10/21/2005 10:05 up 64 bash
11/07/2004 20:08 USB FlashDisk
12/22/2003 13:32 VIA Technologies, Inc
01/01/2007 03:12 5 131 560 viruskeeper2007pro.zip
10/23/2004 20:16 WIDCOMM
12/25/2007 21:09 Windows Live Favorites
12/25/2007 21:09 Windows Live Toolbar
12/09/2007 20:53 Windows Media Player
12/22/2003 13:17 Windows NT
06/19/2004 09:58 WinRAR
09/11/2004 21:14 WinZip
01/08/2005 20:56 WinZip 8.1 Fr
12/22/2003 13:23 xerox
06/27/2006 00:22 XviD
12 fichier(s) 153 077 580 octets
76 Rép(s) 11 569 491 968 octets libres

******************************************
## Popups autorisées

* Internet Explorer

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\XXXX\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\W8D5RAUB.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

ainsi que le dernier rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:41, on 06/20/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
C:\Program Files\USB FlashDisk\UFD Utility 2003\UFDTool.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\Program Files\Spamicillin\Spamicillin.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [UFD Monitor9382] C:\Program Files\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
O4 - HKLM\..\Run: [UFD Utility9382] C:\Program Files\USB FlashDisk\UFD Utility 2003\UFDTool.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc (User '?')
O4 - HKUS\S-1-5-21-3309706009-192357780-3194372149-1005\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-3309706009-192357780-3194372149-1005 Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe (User '?')
O4 - Startup: Spamicillin.lnk = C:\Program Files\Spamicillin\Spamicillin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?120c3b6cbb69409fbaf105238132c93b
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?120c3b6cbb69409fbaf105238132c93b
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{66E4014B-BF29-4F4F-B2A1-704A7B619C90}: NameServer = 192.168.1.14
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Basics Service - Seagate Technology LLC - C:\Program Files\Seagate\Basics\Service\SyncServicesBasics.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O24 - Desktop Component 0: (no name) - http://us.js1.yimg.com/us.yimg.com/lib/g/ylib_dom.js
O24 - Desktop Component 1: (no name) - http://adsl.free.fr/img/logoprint.gif

--
End of file - 9466 bytes

Sinon les 3 fichiers dont tu parles ne me disent rien :

ProxyServer = http=ZillaPopupKiller:8100

C:\Program Files\Spamicillin\Spamicillin.exe

Desktop Component 0: (no name) - http://us.js1.yimg.com/us.yimg.com/lib/g/ylib_dom.js

et Malwarebytes' anti malware ne fonctionne toujours pas

Modifié par cylon le 20/06/2008 19:38

nico_dodo

Posté le 22/06/2008 à 21:53

Groupe Sécurité

2609 Messages

Bonsoir,

suite à ton envoie par MP du rapport lop S&D, tu peux faire ce qui suit :

Double-clique sur le raccourci et choisis l'option 3. Cela va supprimer l'infection.
A la fin de la suppression, une recherche sera re-lancée.
Le bloc-note s'ouvre. Edite son contenu dans ta prochaine réponse.

Edite également un nouveau rapport LOPxpMh2.

Ensuite, on va verifier quelque chose :

rends toi sur cette page recherche FxSasser et télécharge le.

Double clique sur Fixsasser.exe > Exéuter > Start ... Laisse le travailler.

Une fenêtre s'ouvrira à la fin du scan en te disant si tu es infecté ou non. Si tu as un rapport, poste le.

cylon

Posté le 23/06/2008 à 11:53

Petit astucien

14 Messages

Cylon au rapport :

Rapport lopxpMH2 version 2.0 fait à 0:39:39,96 le 06/23/2008
C:\Documents and Settings\XXXX\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\All Users\Application Data

12/22/2003 13:11 <REP> .
12/22/2003 13:11 <REP> ..
11/12/2005 22:50 <REP> Adobe
10/11/2007 21:10 <REP> Apple
06/20/2006 23:55 <REP> Apple Computer
12/22/2003 13:52 <REP> CyberLink
09/25/2004 17:50 <REP> elseamenintrahole
07/08/2006 10:37 <REP> Google
11/12/2005 22:45 <REP> Macrovision
06/19/2008 01:34 <REP> Malwarebytes
05/08/2005 16:21 <REP> Messenger Plus!
12/22/2003 13:11 <REP> Microsoft
02/10/2005 00:55 <REP> MSN Toolbar Suite
03/01/2004 23:51 <REP> MSN6
03/10/2004 21:17 <REP> QuickTime
02/16/2008 20:03 <REP> Seagate
05/31/2004 21:44 <REP> Spybot - Search & Destroy
02/24/2008 20:15 <REP> TEMP
12/25/2007 21:08 <REP> Windows Live Toolbar
12/22/2003 13:12 62 desktop.ini
12/09/2007 20:58 0 LauncherAccess.dt
12/08/2007 18:07 1 787 QTSBandwidthCache
3 fichier(s) 1 849 octets
19 Rép(s) 11 570 540 544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\Default User\Application Data

12/22/2003 13:11 <REP> .
12/22/2003 13:11 <REP> ..
12/22/2003 13:23 <REP> Identities
12/22/2003 13:11 <REP> Microsoft
12/22/2003 13:12 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 11 570 540 544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\Default User\Local Settings\Application Data

12/22/2003 13:12 <REP> .
12/22/2003 13:12 <REP> ..
03/01/2004 23:22 <REP> Microsoft
03/01/2004 23:22 2 660 108 IconCache.db
1 fichier(s) 2 660 108 octets
3 Rép(s) 11 570 540 544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\XXXX\Application Data

03/01/2004 23:22 <REP> .
03/01/2004 23:22 <REP> ..
11/12/2005 22:50 <REP> Adobe
12/02/2005 00:08 <REP> Ahead
06/21/2006 00:13 <REP> Apple Computer
04/11/2004 23:30 <REP> CyberLink
06/11/2006 22:53 <REP> dvdcss
07/07/2005 19:40 <REP> Google
06/19/2004 09:58 <REP> Help
03/01/2004 23:22 <REP> Identities
01/02/2005 00:09 <REP> Lavasoft
05/29/2004 00:16 <REP> Macromedia
03/01/2004 23:22 <REP> Microsoft
04/04/2004 15:04 <REP> Microsoft Web Folders
01/10/2005 00:09 <REP> MobileJeux
06/11/2006 22:23 <REP> Mozilla
03/01/2004 23:51 <REP> MSN6
01/10/2005 00:14 <REP> NouveautesMP3
09/23/2004 19:45 <REP> Real
08/04/2005 11:00 <REP> SpamExtract
10/08/2005 08:00 <REP> Start Style
06/11/2006 23:00 <REP> vlc
03/01/2004 23:22 62 desktop.ini
1 fichier(s) 62 octets
22 Rép(s) 11 570 540 544 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\XXXX\Local Settings\Application Data

03/01/2004 23:22 <REP> .
03/01/2004 23:22 <REP> ..
10/11/2007 21:11 <REP> Apple
06/21/2006 00:13 <REP> Apple Computer
08/23/2006 23:17 <REP> ApplicationHistory
01/01/2005 23:37 <REP> Google
06/19/2004 09:58 <REP> Help
05/30/2004 16:20 <REP> Identities
03/01/2004 23:22 <REP> Microsoft
06/11/2006 22:24 <REP> Mozilla
03/01/2004 23:56 76 288 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08/23/2006 23:17 138 fusioncache.dat
08/23/2006 23:38 30 312 GDIPFONTCACHEV1.DAT
09/24/2004 00:58 5 339 344 IconCache.db
4 fichier(s) 5 446 082 octets
10 Rép(s) 11 570 536 448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\LocalService\Application Data

12/22/2003 13:26 <REP> .
12/22/2003 13:26 <REP> ..
09/26/2004 20:11 <REP> Help
12/22/2003 13:26 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 11 570 536 448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\LocalService\Local Settings\Application Data

Répertoire de C:\DOCUME~1\NetworkService\Application Data

12/22/2003 13:26 <REP> .
12/22/2003 13:26 <REP> ..
12/22/2003 13:26 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 570 536 448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\DOCUME~1\NetworkService\Local Settings\Application Data

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

12/22/2003 13:25 <REP> .
12/22/2003 13:25 <REP> ..
12/22/2003 13:25 <REP> Identities
12/22/2003 13:25 <REP> Microsoft
12/22/2003 13:25 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 11 570 536 448 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

12/22/2003 13:25 <REP> .
12/22/2003 13:25 <REP> ..
10/23/2007 22:01 <REP> Apple
03/01/2004 23:22 <REP> Microsoft
03/01/2004 23:22 2 660 108 IconCache.db
1 fichier(s) 2 660 108 octets
4 Rép(s) 11 570 536 448 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 2C30-C9ED

Répertoire de C:\Program Files

06/23/2008 00:30 <REP> .
06/23/2008 00:30 <REP> ..
02/10/2005 00:55 <REP> Adaware
11/12/2005 22:40 <REP> Adobe
11/12/2006 18:56 <REP> Ahead
02/24/2008 20:11 8 965 619 all2mp3.exe
03/10/2007 22:43 <REP> Alwil Software
12/31/2006 21:13 1 039 798 antivirus.zip
10/11/2007 21:10 <REP> Apple Software Update
02/06/2006 23:35 <REP> AudioConvert
01/01/2007 03:13 <REP> AxBx
11/28/2006 23:15 <REP> Casperlab Software
11/21/2005 18:37 <REP> CCleaner
09/06/2004 13:55 <REP> CDex_140b9
05/07/2005 18:29 <REP> Cliprex Lite
05/28/2004 23:03 <REP> Common Files
12/22/2003 13:52 <REP> CyberLink
08/23/2006 23:36 <REP> Disc2Phone
06/27/2006 00:22 <REP> DivX
06/11/2006 22:19 15 032 912 DivXPlay.exe
01/08/2005 21:21 <REP> Elaborate Bytes
04/27/2008 19:46 <REP> eMule
12/31/2006 21:11 <REP> Fichiers communs
04/27/2008 20:29 6 626 080 FirefoxGoogleToolbarSetup.exe
06/11/2004 08:57 <REP> Free(2).fr
06/12/2004 16:53 <REP> Free.fr
06/11/2006 22:51 8 863 685 Freeplayer-Win32-20050905.exe
01/28/2007 19:37 <REP> Google
12/22/2003 13:30 <REP> Intel
08/23/2006 23:22 <REP> Internet Explorer
10/11/2007 21:19 <REP> iPod
06/16/2004 23:23 <REP> IrfanView
10/11/2007 21:20 <REP> iTunes
10/11/2007 13:51 51 422 520 iTunes743Setup.exe
06/20/2006 23:50 36 465 208 iTunesSetup.exe
06/24/2007 20:47 <REP> Java
06/24/2007 20:50 <REP> Java Web Start
07/24/2005 22:58 <REP> Lavasoft
02/24/2008 20:13 <REP> LitexMedia
06/20/2008 19:14 <REP> Malwarebytes' Anti-Malware
05/05/2005 20:53 <REP> Matroska Pack
02/06/2006 23:35 <REP> Messenger
09/30/2006 18:09 <REP> Messenger Plus! 3
04/04/2004 15:03 <REP> microsoft frontpage
04/04/2004 15:04 <REP> Microsoft Office
04/04/2004 15:06 <REP> Microsoft Visual Studio
02/06/2006 23:39 <REP> Movie Maker
06/16/2008 20:36 <REP> Mozilla Firefox
09/06/2004 11:34 <REP> MSN
12/22/2003 13:17 <REP> MSN Gaming Zone
12/25/2007 21:02 <REP> MSN Messenger
02/16/2008 20:00 <REP> MSXML 6.0
06/20/2008 17:11 <REP> Navilog1
05/28/2004 23:16 <REP> NetMeeting
12/31/2006 21:11 <REP> Network Associates
02/06/2006 23:35 <REP> NimoCodec Pack
09/30/2006 12:43 536 200 no-popup.zip
12/22/2003 13:32 <REP> NSC
05/28/2004 23:15 <REP> Outlook Express
12/22/2003 13:39 <REP> Pinnacle
10/11/2007 21:16 <REP> QuickTime
12/09/2007 20:34 <REP> Samsung
02/16/2008 20:03 <REP> Seagate
12/22/2003 13:20 <REP> Services en ligne
03/10/2007 22:42 13 446 648 setupfre.exe
05/12/2008 20:58 <REP> SigmaPlot
09/04/2005 10:04 <REP> SlySoft
09/30/2006 12:34 <REP> Spamicillin
09/30/2006 12:34 1 193 266 spamicillin.exe
12/16/2007 21:45 <REP> Spybot - Search & Destroy
12/31/2004 20:39 4 354 084 Spybotsd13.exe
09/06/2004 10:26 <REP> Sygate
12/22/2003 13:33 <REP> Synaptics
06/19/2008 01:26 <REP> Trend Micro
11/07/2004 20:08 <REP> USB FlashDisk
12/22/2003 13:32 <REP> VIA Technologies, Inc
01/01/2007 03:12 5 131 560 viruskeeper2007pro.zip
10/23/2004 20:16 <REP> WIDCOMM
12/25/2007 21:09 <REP> Windows Live Favorites
12/25/2007 21:09 <REP> Windows Live Toolbar
12/09/2007 20:53 <REP> Windows Media Player
12/22/2003 13:17 <REP> Windows NT
06/19/2004 09:58 <REP> WinRAR
09/11/2004 21:14 <REP> WinZip
01/08/2005 20:56 <REP> WinZip 8.1 Fr
12/22/2003 13:23 <REP> xerox
06/27/2006 00:22 <REP> XviD
12 fichier(s) 153 077 580 octets
75 Rép(s) 11 570 520 064 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\XXXX\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\W8D5RAUB.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

******************************************
## Zones de sécurit&eacu