> Tous les forums > Forum Sécurité
 rapport pour virus trojanSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
virg__
  Posté le 15/04/2007 @ 18:33 
Aller en bas de la page 
Petite astucienne

Avast m'a détecté un virus trojan dans mes fichiers temporaires, j'ai suivi la procédure du pc infecté mais il est toujours là!!!

A ce que j'ai lu sur certains forums il s'agirait peut être du virus PWS Trojan mais bon je ne suis pas une grande connaisseuse!!

Je vous copie colle le rapport hijackthis qui et ma foi assez long ce qui me fait peur!! Merci de m'aider

______

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:20:20, on 15/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\Virginie\Local Settings\Temporary Internet Files\Content.IE5\GLENSHYJ\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127w.bay127.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\Plugin Manager\Skype4COM.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Virginie/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 9667 bytes

Publicité
Evasion60
 Posté le 15/04/2007 à 18:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Virg_, et bienvenue sur PCA Sécurité

Déjà peux tu prendre la version 1.99.1 de HijackThis, pas la 2.0.0 béta --->tu trouveras les liens dans ma signature, et ici :



Clique sur le lien "Pré-nettoyage d'un PC infecté", dans ma signature

Si tu éprouves des difficultés à effectuer cette procédure, toujours dans ma signature clique sur : "Comment faire pour..." ( démo en image, pour installer HijackThis, et configurer correctement, AVG7.5 antispyware )

Reviens ICI, avec les deux rapports demandés, soit : AVG7.5 antispyware (bien configuré), puis, un log HijackThis, bien installé, soit, sous C:\HijackThis\hjt.exe


Pour faire un scan avec AVG AntiSpyware 7.5, le configurer, poster son rapport

Lance AVG Anti-Spyware
Clique sur le bouton " Analyse " puis " Parametres "
Puis " Comment réagir ", clique sur " Actions recommandées "... Sélectionne " Quarantaine "
Quitte AVG7.5 AS
Relance AVG7.5 AS
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur " Enregistrer le rapport "
Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


Bonne réception


virg__
 Posté le 15/04/2007 à 19:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Alors j'ai fais tout ce que tu m'as dit, voici le rapport avg 7.5

VG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 19:44:30 15/04/2007

+ Résultat de l'analyse:

C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc41.txt -> TrackingCookie.247realmedia : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc19.txt -> TrackingCookie.2o7 : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc39.txt -> TrackingCookie.Advertising : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc38.txt -> TrackingCookie.Atdmt : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc30.txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc21.txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc12.txt -> TrackingCookie.Netflame : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc8.txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\RECYCLER\S-1-5-21-1993962763-1935655697-725345543-1004\Dc40.txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

J'avais un rapport précédent d'avg qui disait :

VG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:53:02 15/04/2007

+ Résultat de l'analyse:

HKLM\SOFTWARE\Classes\HbTools.HbtCommBand -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtCommBand.1 -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtCommBand\CLSID -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtCommBand\CurVer -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtTravelCompareBar -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtTravelCompareBar.1 -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtTravelCompareBar\CLSID -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbTools.HbtTravelCompareBar\CurVer -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtHostIE.Bho -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtHostIE.Bho.1 -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtHostIE.Bho\CLSID -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtHostIE.Bho\CurVer -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtSrv.HbtCoreServices -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtSrv.HbtCoreServices.1 -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtSrv.HbtCoreServices\CLSID -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtSrv.HbtCoreServices\CurVer -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtTools.HbMain -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtTools.HbMain.1 -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtTools.HbMain\CLSID -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\HbtTools.HbMain\CurVer -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Fichiers communs\Sandlot Shared\slghex.dll -> Adware.SpywareStorm : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Invité\Cookies\invité@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Invité\Cookies\invité@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Invité\Cookies\invité@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Invité\Cookies\invité@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Invité\Cookies\invité@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyé.
C:\Documents and Settings\Invité\Cookies\invité@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

et ensuite voici le rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19:53:59, on 15/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Virginie\LOCALS~1\Temp\Rar$EX00.093\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127w.bay127.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Voila ensuite j'ai redémarré mon pc en mode normal et avast a à noueau détecté le même virus : qui serait xin32:small gen2

D'autre part quand j'ai lancé easy cleaner, il y a 5 fichiers inutiles qui n'ont pu être supprimés : certains dans les temporary internet files, history IE5 et temp

Merci beaucoup pour ton aide!!

Evasion60
 Posté le 15/04/2007 à 22:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Virg_

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : [bToolbar.bfu et BFU.exe] (très important).


Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Toolbar.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.


Redémarre normalement

Poste un nouveau HijackThis sur ce topic / Merci

Bonne réception

virg__
 Posté le 16/04/2007 à 08:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ok j'essaierai toutes ces manip en rentrant du boulot ce soir et je posterai le nouveau rapport!

Merci encore!

Evasion60
 Posté le 16/04/2007 à 18:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

virg__ a écrit :

Ok j'essaierai toutes ces manip en rentrant du boulot ce soir et je posterai le nouveau rapport!

OK prend ton temps, et si bloquée qqlpart, demande nous de l'aide

Bonne réception, à te lire

virg__
 Posté le 16/04/2007 à 18:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voila le dernier rapport :

Quand j'ai redémarré en mode normal, avast m'a encore détecté le cheval de troie!

Logfile of HijackThis v1.99.1
Scan saved at 18:41:20, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127w.bay127.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Evasion60
 Posté le 16/04/2007 à 18:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Virg_

...nous somme bien d'accord que que as passé le script " Toolbar " de Chercheur, comme demandé ?

A te lire

virg__
 Posté le 16/04/2007 à 18:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
Evasion60 a écrit :

Re Virg_

...nous somme bien d'accord que que as passé le script " Toolbar " de Chercheur, comme demandé ?

A te lire


Ah ben oui pourquoi on dirait pas??

J'ai bien cliqué sur le dossier jaune et inséré toolbar pourtant!

Faut que je recommence?

Publicité
virg__
 Posté le 16/04/2007 à 20:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai refais la manip et en fait il s'est passé un truc bizarre : quand j'ai lancé l'exécution de brute force uninstaller arrivé à 59% de l'analyse il ma ouert une boite de dialogue à savoir celle qui apparait quand on passe en mode sans échec "attention vous êtes en mode sans échec, si vous voule continuer cliquez oui," etc... j'ai refais un rapport hijack qui donne ceci :

PS

Logfile of HijackThis v1.99.1
Scan saved at 20:22:45, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Virginie\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127w.bay127.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Evasion60
 Posté le 16/04/2007 à 23:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Virg_

...Ce que je cherche à supprimer facilement est tjts présente

...Je te donne demain dans la journée ( soir ) une désinfection, mais je souhaite aller plus loin

...si tu as le temps ce soir fais moi ceci, et poste les rapports / STP pour demain


Télécharge - F-Secure Blacklight (800ko) https://europe.f-secure.com/blacklight/try.shtml
ou ici http://www.f-secure.com/exclude/blacklight/index.shtml
Placez-le dans son propre répertoire, dans Poste de travail -> Disque Local C:\
Utilisation de F-Secure Blacklight (blbeta)
Lancez-le en double-cliquant sur le fichier blbeta.exe. Acceptez la licence, et cliquez enfin sur "Scan". Patientez.
A l'issue du scan, qui est relativement rapide, il va afficher le nombre d'items trouvés. Pour des raisons de commodité, fermez Blacklight et regardez dans le dossier où il se trouve, il a généré un rapport sous forme de fichier texte, dont le nom commence par "fsblxxxxxx.log"
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Poste le rapport

Télécharge SmitfraudFix de S!Ri----->sur ton bureau :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Ou http://siri.urz.free.fr/Fix/SmitfraudFix.zip (si tu prends ce lien, il faudra le décompresser)

Ouvre SmitfraudFix, tu doubles clique sur SmitfraudFix.cmd et tu choisis l’option 1
Poste le rapport.

Bonne réception / Evasion60 / A te lire demain

virg__
 Posté le 17/04/2007 à 13:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voila le premier scan de F-secure, il m'a dit "no items found"

04/17/07 12:57:25 [Info]: BlackLight Engine 1.0.61 initialized
04/17/07 12:57:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/17/07 12:57:25 [Note]: 7019 4
04/17/07 12:57:25 [Note]: 7005 0
04/17/07 12:57:31 [Note]: 7006 0
04/17/07 12:57:31 [Note]: 7011 328
04/17/07 12:57:31 [Note]: 7026 0
04/17/07 12:57:31 [Note]: 7026 0
04/17/07 12:57:34 [Note]: FSRAW library version 1.7.1021
04/17/07 13:00:17 [Note]: 2000 1012
04/17/07 13:00:41 [Note]: 7007 0

virg__
 Posté le 17/04/2007 à 13:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Et voila le résultat de smitfraud :

SmitFraudFix v2.169

Rapport fait à 13:02:04,98, 17/04/2007
Executé à partir de C:\Documents and Settings\Virginie\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Virginie


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Virginie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Virginie\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOCUME~1/Virginie/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOCUME~1/Virginie/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: IEEE 802.11g Wireless Cardbus/PCI Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.236.0.73
DNS Server Search Order: 81.220.255.4
DNS Server Search Order: 80.236.0.68

Description: IEEE 802.11g Wireless Cardbus/PCI Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.30

HKLM\SYSTEM\CCS\Services\Tcpip\..\{67200097-162E-4C2C-8612-B769D38153A3}: DhcpNameServer=192.168.0.30
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FBD7973-2E61-4400-AF78-87FA4E80894C}: DhcpNameServer=80.236.0.73 81.220.255.4 80.236.0.68
HKLM\SYSTEM\CS1\Services\Tcpip\..\{67200097-162E-4C2C-8612-B769D38153A3}: DhcpNameServer=192.168.0.30
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FBD7973-2E61-4400-AF78-87FA4E80894C}: DhcpNameServer=80.236.0.73 81.220.255.4 80.236.0.68
HKLM\SYSTEM\CS2\Services\Tcpip\..\{67200097-162E-4C2C-8612-B769D38153A3}: DhcpNameServer=192.168.0.30
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.30
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.30
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.30


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Evasion60
 Posté le 17/04/2007 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Virg_

...C'est du LOP, l'infection , plus des temps vérolés...as tu vidé ta corbeille?

Télécharge lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat
Merci Lazzzy

Poste le contenu du rapport qui va s'ouvrir.

Bonne réception



Modifié par Evasion60 le 17/04/2007 14:12
virg__
 Posté le 17/04/2007 à 18:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Alors oui je te confirme que ma corbeille est vide!

Voici le dernier rapport demandé :

Rapport lopxpMH2 version 2.0 fait à 18:28:38,96 le 17/04/2007
C:\Documents and Settings\Virginie\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\All Users\Application Data

04/12/2005 22:28 <REP> .
04/12/2005 22:28 <REP> ..
04/12/2005 22:07 <REP> Adobe
05/12/2005 00:05 <REP> Apple Computer
04/04/2007 17:06 <REP> Google
31/03/2007 16:57 <REP> HipSoft
16/01/2006 21:09 <REP> InstallShield
06/12/2005 16:13 <REP> Messenger Plus!
04/12/2005 22:28 <REP> Microsoft
21/08/2006 20:19 <REP> pixelStorm
12/03/2007 11:11 <REP> PlayFirst
05/12/2005 00:06 <REP> Real
29/06/2006 20:18 <REP> Samsung
13/03/2007 23:03 <REP> Sandlot Games
24/05/2006 22:14 <REP> Skype
04/12/2005 22:03 <REP> Spybot - Search & Destroy
15/04/2007 16:58 <REP> TEMP
16/03/2007 13:08 <REP> Trymedia
30/08/2006 19:52 <REP> TuneUp Software
09/12/2005 16:31 <REP> Yahoo! Companion
31/03/2007 16:51 <REP> Zylom
04/12/2005 22:29 62 desktop.ini
1 fichier(s) 62 octets
21 Rép(s) 11 468 398 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\Default User\Application Data

04/12/2005 22:28 <REP> .
04/12/2005 22:28 <REP> ..
04/12/2005 22:28 <REP> Microsoft
04/12/2005 22:29 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 11 468 398 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

04/12/2005 22:29 <REP> .
04/12/2005 22:29 <REP> ..
04/12/2005 21:39 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 468 398 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\Invité\Application Data

16/12/2005 19:27 <REP> .
16/12/2005 19:27 <REP> ..
10/08/2006 17:37 <REP> 3M
16/12/2005 19:27 <REP> Identities
16/12/2005 19:38 <REP> Macromedia
16/12/2005 19:27 <REP> Microsoft
16/12/2005 19:27 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 11 468 398 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\Invité\Local Settings\Application Data

16/12/2005 19:27 <REP> .
16/12/2005 19:27 <REP> ..
16/12/2005 19:27 <REP> Ahead
10/08/2006 17:37 <REP> Logitech-LS
16/12/2005 19:27 <REP> Microsoft
04/09/2006 17:55 43 728 GDIPFONTCACHEV1.DAT
16/12/2005 19:38 3 784 196 IconCache.db
2 fichier(s) 3 827 924 octets
5 Rép(s) 11 468 398 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\LocalService\Application Data

04/12/2005 21:43 <REP> .
04/12/2005 21:43 <REP> ..
04/12/2005 21:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 468 398 592 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

04/12/2005 21:43 <REP> .
04/12/2005 21:43 <REP> ..
04/12/2005 21:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 468 394 496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\NetworkService\Application Data

04/12/2005 21:43 <REP> .
04/12/2005 21:43 <REP> ..
04/12/2005 21:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 468 394 496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

04/12/2005 21:43 <REP> .
04/12/2005 21:43 <REP> ..
04/12/2005 21:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 468 394 496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\Virginie\Application Data

04/12/2005 21:45 <REP> .
04/12/2005 21:45 <REP> ..
03/04/2006 18:13 <REP> 3M
05/12/2005 14:23 <REP> Adobe
06/12/2005 10:04 <REP> AdobeUM
06/12/2005 16:10 <REP> Ahead
18/03/2007 15:17 <REP> Atari
24/12/2006 22:49 <REP> Desperate Housewives
31/10/2006 13:15 <REP> dvdcss
24/12/2005 17:43 <REP> FotoWire
13/03/2007 22:42 <REP> Gaijin Ent
04/04/2007 22:10 <REP> Google
08/12/2005 19:29 <REP> Help
05/12/2005 21:56 <REP> Hewlett-Packard
04/12/2005 21:45 <REP> Identities
04/12/2005 22:04 <REP> Lavasoft
04/12/2005 22:00 <REP> Macromedia
04/12/2005 21:45 <REP> Microsoft
12/03/2007 11:11 <REP> PlayFirst
05/12/2005 00:06 <REP> Real
01/04/2007 20:48 <REP> Screenshot Sender
24/05/2006 22:14 <REP> Skype
07/12/2005 14:22 <REP> Sun
05/12/2005 22:24 <REP> vlc
31/03/2007 16:51 <REP> Zylom
04/12/2005 21:45 62 desktop.ini
1 fichier(s) 62 octets
25 Rép(s) 11 468 394 496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Documents and Settings\Virginie\Local Settings\Application Data

04/12/2005 21:45 <REP> .
04/12/2005 21:45 <REP> ..
05/12/2005 14:23 <REP> Adobe
06/12/2005 16:12 <REP> Ahead
02/01/2006 22:55 <REP> Apple Computer
17/03/2007 17:42 <REP> Google
08/12/2005 19:29 <REP> Help
06/12/2005 21:19 <REP> Identities
01/04/2006 15:23 <REP> IM
24/12/2005 17:45 <REP> Logitech-LS
04/12/2005 21:45 <REP> Microsoft
06/12/2005 13:41 148 992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
05/12/2005 21:57 44 112 GDIPFONTCACHEV1.DAT
04/12/2005 22:46 3 712 656 IconCache.db
3 fichier(s) 3 905 760 octets
11 Rép(s) 11 468 394 496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

04/12/2005 21:42 <REP> .
04/12/2005 21:42 <REP> ..
04/12/2005 21:42 <REP> Microsoft
04/12/2005 21:42 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 11 468 394 496 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

04/12/2005 21:42 <REP> .
04/12/2005 21:42 <REP> ..
04/12/2005 21:42 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 11 468 390 400 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\FRU
FRU inexploitable


C:\WINDOWS\Tasks\Maintenance
Maintenance inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C045-3208

Répertoire de C:\Program Files

16/04/2007 18:37 <REP> .
16/04/2007 18:37 <REP> ..
25/12/2006 18:32 <REP> Adobe
04/12/2005 22:01 <REP> Alwil Software
05/12/2005 00:09 <REP> BeClean
04/04/2007 12:49 <REP> BFG
04/04/2007 12:50 <REP> bfgtoolbar
25/12/2006 13:28 <REP> Buena Vista Games
21/12/2005 17:56 <REP> Bullfrog
15/04/2007 16:29 <REP> CCleaner
24/12/2005 19:41 <REP> Change Extension
27/01/2006 21:26 <REP> Common Files
04/12/2005 21:36 <REP> ComPlus Applications
13/04/2007 19:40 <REP> Delicious winter edition Deluxe English
21/05/2006 11:46 <REP> DIFX
14/03/2007 19:40 <REP> Diner Dash Two
16/04/2007 21:44 <REP> eMule
15/04/2007 18:10 <REP> Fichiers communs
05/12/2005 17:59 <REP> FileZilla
06/12/2005 12:37 <REP> Gabest
05/04/2007 08:17 <REP> Google
06/12/2005 12:36 <REP> GordianKnot
15/04/2007 16:28 <REP> Grisoft
05/12/2005 21:27 <REP> Hewlett-Packard
03/04/2006 19:48 <REP> IncrediMail
04/12/2005 21:38 <REP> Internet Explorer
17/01/2006 13:25 <REP> Jasc Software Inc
07/12/2005 14:21 <REP> Java
04/12/2005 22:13 <REP> K-Lite Codec Pack
04/12/2005 22:04 <REP> Lavasoft
24/12/2005 17:43 <REP> Logitech
12/03/2007 09:41 <REP> Maxis
03/04/2007 17:33 <REP> Maxthon
04/12/2005 21:36 <REP> Messenger
01/04/2007 20:47 <REP> Messenger Plus! Live
27/08/2006 20:42 <REP> MessengerPlus! 3
04/12/2005 21:40 <REP> microsoft frontpage
05/12/2005 21:18 <REP> Microsoft Office
05/12/2005 21:18 <REP> Microsoft.NET
04/12/2005 21:37 <REP> Movie Maker
23/01/2007 22:17 <REP> MSN
04/12/2005 21:36 <REP> MSN Gaming Zone
07/03/2007 21:48 <REP> MSN Messenger
06/12/2005 16:09 <REP> Nero
04/12/2005 21:37 <REP> NetMeeting
24/12/2005 21:29 <REP> NUMERICABLE
04/12/2005 21:36 <REP> Online Services
04/12/2005 21:37 <REP> Outlook Express
28/01/2007 17:21 <REP> Photo Toolkit
21/03/2007 15:06 <REP> Pizza Frenzy
05/12/2005 00:05 <REP> QuickTime Alternative
28/03/2007 21:03 <REP> Raptisoft
14/03/2007 19:04 <REP> Real
05/12/2005 00:06 <REP> Real Alternative
14/03/2007 20:18 <REP> ReflexiveArcade
04/12/2005 22:54 <REP> RegCleaner
08/03/2007 16:37 774 144 RngInterstitial.dll
02/02/2007 19:26 <REP> Samsung
04/12/2005 21:38 <REP> Services en ligne
25/11/2006 13:34 <REP> Skype
04/04/2007 12:50 <REP> SpongeBob SquarePants Diner Dash
04/12/2005 22:03 <REP> Spybot
17/03/2007 10:22 <REP> Stand O'Food
04/12/2005 22:51 <REP> SuperCopier
04/04/2007 14:23 <REP> TechCity Solutions
15/04/2007 16:33 <REP> ToniArts
04/12/2005 22:10 <REP> VideoLAN
04/12/2005 22:15 <REP> Windows Media Player
04/12/2005 21:36 <REP> Windows NT
04/12/2005 22:55 <REP> WinRAR
23/03/2006 20:10 <REP> Wipe spam send
04/12/2005 21:40 <REP> xerox
21/02/2006 18:30 <REP> Yahoo!
31/03/2007 16:57 <REP> Zylom Games
1 fichier(s) 774 144 octets
73 Rép(s) 11 468 386 304 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
www.tfou.fr REG_BINARY
dns-look-up.com REG_SZ
www.dns-look-up.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
searchweb2.com REG_SZ
www.searchweb2.com REG_SZ
zonenxt.msn-int.com REG_BINARY
zonenxt.msn-ppe.com REG_BINARY
zone.msn.com REG_BINARY
*.zylom.com REG_BINARY 00000000

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/ie

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************

Evasion60
 Posté le 17/04/2007 à 18:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

OK Virg_

...je dois m'absenter, je te donne une réponse ce soir ( rien de bien méchant )

Bon appétit, à tout à l'heure ( je reparts au job ) /

Evasion60
 Posté le 18/04/2007 à 00:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Virg_

Note comment démarrer en mode sans échec--->Tapoter la touche F8, après le bip du démarrage du PC

1/ Télécharge :

- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

2/ Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, ( en italique ), (copie tout d'un trait) :--->Y compris REGEDIT4, et la ligne vide en dessous REGEDIT4

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-
"searchweb2.com"=-
"www.searchweb2.com"=-
"zonenxt.msn-int.com"=-
"zonenxt.msn-ppe.com"=-
"zone.msn.com"=-
"*.zylom.com"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de reglop.reg doit ressembler à cela < inclued picture >


*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec ( F8 ) (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****



/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


/ recherche avec l'explorateur Windows, et supprime ces dossiers ou fichiers, si tu les
trouves :
C:\Program Files\BFG
C:\Program Files\bfgtoolbar
C:\Program Files\SpongeBob SquarePants Diner Dash
Vide ta corbeille ( important )

/double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/Lance HijackThis, pour un scan seulement, et fixe les objets ci dessous :
Merci d'imprimer les lignes, pour ne pas faire d'erreur
Certaines lignes peuvent ne plus apparaitre, c'est normal

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by127w.bay127.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll


/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

.../Fais un scan antivirus en ligne ICI http://www.bitdefender.fr/scan8/ie.html

...Tuto : http://pageperso.aol.fr/rginformatique/mapage/defender.htm

...Reviens avec les rapports du scan antivirus, et un nouveau log HJT

Nota: il faudra faire ta mise à jour JAVA ( plus tard )

Bonne réception

Publicité
virg__
 Posté le 18/04/2007 à 20:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Attention les aventures continuent...

Alors voici le 1er rapport hijack this c'est à dire avant de fixer les lignes :

Logfile of HijackThis v1.99.1
Scan saved at 20:20:25, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Virginie\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\PROGRA~1\BFGTOO~1\BFGTOO~1.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Puis 'ai fixer les lignes que tu m'avais demandé et voici le rapport apres le "fixage" :

Logfile of HijackThis v1.99.1
Scan saved at 20:31:14, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Virginie\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.search.yahoo.com">http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://fr.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\Plugin Manager\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Pour info, j'avais bien les 3 dossiers dans mes program files : BFg, BFGtoolbar et Spongebob

Je les ai supprimé et vidé la corbeille

Tout a marché nickel. En revanche quand j'ai redémarré en mode normal : toujours le virus trojan détecté par avast qui se situerait dans les fichiers temporaires et s'appelerait temp 1.

Je m'en vais faire la suite : scan bitdefender!

A toute et merci pour ton aide, c'est pas de chance d'être tombé sur mon problème qui est si complexe!!

Evasion60
 Posté le 18/04/2007 à 21:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Virg_

...OK j'attend le rapport du scan online BD

...( j'ai un doute sur cette ligne : [O4 - Global Startup: MS_update_0704_KB74073.exe] ), mais peu le savoir rapidement sur PCA Sécurité

Bonne réception, et à te lire

virg__
 Posté le 18/04/2007 à 21:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai fais mon scan mais il n'a rien détecté et je n'ai pas pu enregistrer de rapport la ligne était grisée!

Je l'ai relancé mais je suis pas convaincue!

Evasion60
 Posté le 18/04/2007 à 22:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re Virg_

...Oui, recommence BD online ----> sinon second scanner au cas ou :

http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

A effectuer avec IE
Clique sur Virus Detection --->" Start "
Clique sur " I accept ", puis " Next "
Clique sur " I consent ", puis " Next "
Un control active X, va se charger
Dans la nouvelle fenetre qui s'ouvre, valide en bas à gauche " Toujours faire confiance .... ", puis clique sur OK
Le scan débute donc par le dernier HDD
Post son rapport ET/OU celui de BD

Bonne réception

virg__
 Posté le 18/04/2007 à 22:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

voilà le rapport bitdefender

BitDefender Online Scanner

Scan report generated at: Wed, Apr 18, 2007 - 22:36:28

Scan path: A:\;C:\;D:\;E:\;F:\;H:\;I:\;J:\;K:\;

Statistics

Time

00:51:56

Files

411905

Folders

6345

Boot Sectors

3

Archives

2409

Packed Files

49857

Results

Identified Viruses

0

Infected Files

0

Suspect Files

0

Warnings

0

Disinfected

0

Deleted Files

0

Engines Info

Virus Definitions

486713

Engine build

AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Scan plugins

14

Archive plugins

38

Unpack plugins

6

E-mail plugins

6

System plugins

1

Scan Settings

First Action

Disinfect

Second Action

Delete

Heuristics

Yes

Enable Warnings

Yes

Scanned Extensions

*;

Exclude Extensions

Scan Emails

Yes

Scan Archives

Yes

Scan Packed

Yes

Scan Files

Yes

Scan Boot

Yes

Scanned File

Status

No virus found.

Evasion60
 Posté le 18/04/2007 à 22:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Cool Virg_, pour le scanner online BD

...Pour ceci :---> Tout a marché nickel. En revanche quand j'ai redémarré en mode normal : toujours le virus trojan détecté par avast qui se situerait dans les fichiers temporaires et s'appelerait temp 1.

...Télécharge EasyCleaner sur PCA
Lance 5 scans : " Vider Historique " / " Vider cookies " / " Vider fichiers " / " Inutile " / " Registre " ----->Dans chaque scans, supprime tout ce qu'il trouve

...Peux tu localiser ce sous répertoire " Temp 1 " ? ( fonction Explorateur Windows ET/OU fonction Recherche )

A demain, je vais // Bonne réception

virg__
 Posté le 18/04/2007 à 23:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai fais ce que tu m'as dis. Easy cleaner n'a pas réussi à enlever 11 fichiers :

Nom Taille Type Modifié Attr. Version du fichier Version du produit
C:\Documents and Settings\Virginie\Local Settings\Historique\History.IE5 0 Dossier de fichiers 18/04/2007 22:56:24 S
C:\Documents and Settings\Virginie\Local Settings\Historique\History.IE5\index.dat 753664 Film Vidéo CD 18/04/2007 22:46:06 A
C:\Documents and Settings\Virginie\Local Settings\Historique\History.IE5\MSHist012007041820070419 0 Dossier de fichiers 18/04/2007 20:28:50 S
C:\Documents and Settings\Virginie\Local Settings\Historique\History.IE5\MSHist012007041820070419\index.dat 49152 Film Vidéo CD 18/04/2007 22:42:14 A
C:\Documents and Settings\Virginie\Local Settings\Temporary Internet Files\Content.IE5 0 18/04/2007 20:30:14 S
C:\Documents and Settings\Virginie\Local Settings\Temporary Internet Files\Content.IE5\index.dat 294912 Film Vidéo CD 18/04/2007 22:46:20 A
C:\Documents and Settings\Virginie\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV 0 Dossier 18/04/2007 22:43:30 S
C:\Documents and Settings\Virginie\Local Settings\Temporary Internet Files\Content.IE5\W9AFG163 0 Dossier 18/04/2007 21:51:06 S
C:\Documents and Settings\Virginie\Local Settings\Temporary Internet Files\Content.IE5\W9AFG163\vc_scan[1].htm 23734 HTML Document 18/04/2007 22:46:04 A
C:\Documents and Settings\Virginie\Local Settings\Temp\Perflib_Perfdata_fbc.dat 16384 Film Vidéo CD 18/04/2007 21:38:32 A
C:\Documents and Settings\Virginie\Local Settings\Temp\~DF512D.tmp 49152 Fichier TMP 18/04/2007 20:30:36 A

J'ai tenté d'accéder aux chemins par leposte de travail mais pour les 4 premiers je ne les ai pas! J'arrive jusqu'à historique mais à l'intérieur je n'ai que les sites internet que j'ai visité aujourd'hui. Du coup j'ai cherché par l'explorateur et j'en ai trouvé quelques uns : c un fichier video index.dat qui fait 32 ou 16 ko et qu'il est impossible de supprimer!

Idem pour perflib_perfdata... il est imposible à supprimer comme son collègue ~df512D.temp !!

Si tu peux m'aider sur ce coup là...

Merci beaucoup pour tout !!

virg__
 Posté le 18/04/2007 à 23:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Petite info de dernière minute! j'ai fais un scan symantec et là...c'est le drame :

Virus Status: Infected!
Your computer is infected with at least one known threat.
Virus Status: Unknown
The Scan was unable to determine your vulnerability status.
Grey divider
77509 files scanned, 1 file(s) infected on your disk drives.

No viruses were detected in memory.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.

No viruses were detected in memory.

The scan was cancelled before finishing. To restart the scan, click here.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

Warning! The scan detected a virus that is active in your computer's memory.

The scan ended to prevent further infection.

You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.

No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

Note: The scan was cancelled before finishing. There may be more infected files on this computer.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

A scan has not been run. To start Virus Detection, click here.

D:\Messenger\MessengerPlus! 3\Plugins\ShortcutPlug.dll is infected with Backdoor.Trojan

mais au moins on a trouvé où il était...

Please help me again!

See you!

virg__
 Posté le 19/04/2007 à 18:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Du coup j'ai supprimé messenger plus, j'ai toujours mon trojan!

à +++

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
74,99 €Souris sans fil avec trackball Logitech MX Ergo à 74,99 €
Valable jusqu'au 18 Mai

Amazon fait une belle promotion sur la souris sans fil avec trackball Logitech MX Ergo qui passe à 74,99 € livrée gratuitement. On la trouve ailleurs autour de 100 €. Réduisant de 20% la contrainte musculaire par rapport à une souris standard,  le Logitech MX Ergo vous facilitera le travail en maintenant dans une position très stable votre main.


> Voir l'offre
106,99 €SSD PNY XLR8 CS3030 1 To (NMVe M.2, 3500 Mo/s) à 106,99 €
Valable jusqu'au 18 Mai

Amazon fait une promotion sur le SSD PNY XLR8 CS3030 1 To (NMVe M.2) qui passe à 106,99 € alors qu'on le trouve ailleurs à partir de 150 €. Ce SSD utilise une interface M.2 NVMe PCIe Gen3 x 4 pour une connexion simple et des performances exceptionnelles : jusqu’à 3500 Mo/s en lecture séquentielle et jusqu’à 2000 Mo/s en écriture séquentielle.

Le SSD est doté de la technologie 3D TLC NAND haute densité offrant une endurance d’écriture durable et assorti d’une garantie de cinq ans.


> Voir l'offre
10,90 €Adaptateur USB 3.0 Ethernet Gigabit TP-Link UE300 à 10,90 €
Valable jusqu'au 18 Mai

Amazon fait une promotion sur l'adaptateur USB 3.0 Ethernet Gigabit TP-Link UE300 qui passe à 10,90 € au lieu de 20 €. Cet adaptateur vous permettra de rajouter une prise Ethernet Gigabit à votre ordinateur portable (ou votre tablette via un adaptateu²r OTG) qui en est dépourvu.


> Voir l'offre

Sujets relatifs
"Sinit trojan" aide pour rapport Hija &RSIT svp
Un rapport hijackthis et combofix pour virus kavo
rapport Hijackthis... virus winlogon trojan???
Analysez mon rapport... pour virus !
Rapport Hijackthis pour zolob trojan dowloader
trojan?virus ? rapport hijackthis , je fais quoi
Virus indétecté: rapport Hijack pour expert
Rapport pour virus!!!
méthode ultime pour supprimer virus, trojan, spywa
Virus Trojan et Analyse Rapport HijackThis
Plus de sujets relatifs à rapport pour virus trojan
 > Tous les forums > Forum Sécurité