Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

analyse de rapport [RESOLU]


trankill

Messages recommandés

Bonjour à tous,

ma copine a installé messenger plus et depuis, des pages de pubs s'ouvrent. J'utilise firefox mais dans le gestionnaire de tâches, j'ai iexplore.exe qui apparait plusieurs fois. J'ai beau terminé la tâche, il se relance aussitot.

J'ai nettoyé avec spybot et adaware. J'ai fait un scan avec F-secure BlackLight qui ne trouve rien.

J'ai lancé l'option 1 de smitfraud dont voici le rapport :

 

SmitFraudFix v2.119

 

Rapport fait à 14:38:43.89, 06/11/2006

Executé à partir de C:\Documents and Settings\carrefour\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\carrefour

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\carrefour\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CARREF~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Et hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:47 Emeric, on 06/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\zHotkey.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

c:\progra~1\intern~1\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\securite\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe

O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [Pop 32 eggs view] C:\Documents and Settings\All Users\Application Data\Inter Web Pop 32\memo vc.exe

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Time Wait] C:\DOCUME~1\CARREF~1\APPLIC~1\ThisMix\Hideeggsrule.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?0c258987e6bc4a5d90629bb7e021feb6

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?0c258987e6bc4a5d90629bb7e021feb6

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1119456806656

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1121082381687

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1429142C-A674-4904-BB3F-3FA092CD1CB8}: NameServer = 84.103.237.142 86.64.145.142

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

Merci de me dire ce que je peux faire pour la suite :P

Modifié par trankill
Lien vers le commentaire
Partager sur d’autres sites

salut :P

 

Il ne s'agit que de Loop , un spyware qui est installé par Messenger + !

 

Il faut faire gaffe lorsqu'on installe messenger + il faut bien lire ce qu'il y a à l'écran!!et ne pas cocher la case sponsors => messenger5on.jpg

 

télécharge lopxp sur le site de balltrap34 => http://pageperso.aol.fr/balltrap34/lopxp.zip

dézippe-le sur ton bureau puis double-clique sur le fichier lopxp.bat

quand le scan est terminé, un rapport s'ouvre : poste en le contenu .

 

C'est pas grand chose, @+ tard :P

Lien vers le commentaire
Partager sur d’autres sites

Bonjour charles ingals,

Tout d'abord, merci de m'aider.

 

voici le rapport :

 

Rapport fait à 15:55:14.71 le 06/11/2006

 

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 7C95-CFB2

 

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

 

14/02/2006 14:36 Emeric <REP> Lavasoft

12/02/2006 21:54 Emeric <REP> Mozilla

12/02/2006 21:46 Emeric 62 desktop.ini

12/02/2006 21:46 Emeric <REP> AOL

12/02/2006 21:46 Emeric <REP> Adobe

12/02/2006 21:46 Emeric <REP> CyberLink

12/02/2006 21:46 Emeric <REP> Identities

12/02/2006 21:46 Emeric <REP> Macromedia

12/02/2006 21:46 Emeric <REP> Microsoft

12/02/2006 21:46 Emeric <REP> Musicmatch

12/02/2006 21:46 Emeric <REP> Real

12/02/2006 21:46 Emeric <REP> ..

12/02/2006 21:46 Emeric <REP> .

12/02/2006 21:46 Emeric <REP> Sun

12/02/2006 21:46 Emeric <REP> You've Got Pictures Screensaver

1 fichier(s) 62 octets

14 R‚p(s) 34285805568 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 7C95-CFB2

 

R‚pertoire de C:\Documents and Settings\All Users\Application Data

 

06/11/2006 11:30 Emeric <REP> Inter Web Pop 32

06/11/2006 11:14 Emeric <REP> Windows Live Toolbar

02/09/2006 10:48 Emeric <REP> VMware

08/06/2006 10:02 Emeric <REP> Symantec

17/05/2006 14:27 Emeric <REP> Macrovision

17/02/2006 14:24 Emeric <REP> Windows Genuine Advantage

08/02/2006 11:53 Emeric <REP> StatSoft

08/02/2006 09:49 Emeric <REP> UDL

06/02/2006 14:55 Emeric <REP> Spybot - Search & Destroy

11/07/2005 12:28 Emeric <REP> CyberLink

11/07/2005 12:26 Emeric <REP> nView_Profiles

01/07/2005 15:55 Emeric <REP> Viewpoint

01/07/2005 15:55 Emeric <REP> AOL

01/07/2005 14:11 Emeric <REP> QuickTime

01/07/2005 12:20 Emeric <REP> Ahead

22/06/2005 16:56 Emeric <REP> Adobe

22/06/2005 16:17 Emeric 62 desktop.ini

22/06/2005 16:17 Emeric <REP> .

22/06/2005 16:17 Emeric <REP> ..

22/06/2005 16:17 Emeric <REP> Microsoft

22/06/2005 14:33 Emeric <REP> SBSI

1 fichier(s) 62 octets

20 R‚p(s) 34285805568 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 7C95-CFB2

 

R‚pertoire de C:\Documents and Settings\carrefour\Application Data

 

06/11/2006 11:29 Emeric <REP> ThisMix

23/09/2006 19:20 Emeric <REP> Creative

21/09/2006 11:05 Emeric <REP> DeepBurner

02/09/2006 11:29 Emeric <REP> VMware

09/06/2006 16:56 Emeric 22296 GDIPFONTCACHEV1.DAT

08/06/2006 10:03 Emeric <REP> Symantec

24/04/2006 19:17 Emeric <REP> Ahead

20/04/2006 13:13 Emeric <REP> Help

09/04/2006 17:30 Emeric <REP> .ABC

09/04/2006 14:15 Emeric 1095 PhotoPerfectDC Prefs.xml

17/03/2006 19:31 Emeric <REP> PeerNetworking

11/03/2006 20:10 Emeric <REP> vlc

19/02/2006 16:14 Emeric <REP> Notepad++

16/02/2006 20:37 Emeric <REP> Google

10/02/2006 09:09 Emeric <REP> The Labyrinth Plus! Edition

06/02/2006 17:51 Emeric <REP> OpenOffice.org2

06/02/2006 14:51 Emeric <REP> Lavasoft

06/02/2006 13:23 Emeric <REP> AdobeUM

05/02/2006 11:26 Emeric <REP> Mozilla

05/02/2006 10:54 Emeric <REP> MSNInstaller

28/01/2006 09:24 Emeric 62 desktop.ini

28/01/2006 09:24 Emeric <REP> Adobe

28/01/2006 09:24 Emeric <REP> AOL

28/01/2006 09:24 Emeric <REP> CyberLink

28/01/2006 09:24 Emeric <REP> Identities

28/01/2006 09:24 Emeric <REP> Macromedia

28/01/2006 09:24 Emeric <REP> Microsoft

28/01/2006 09:24 Emeric <REP> Musicmatch

28/01/2006 09:24 Emeric <REP> Real

28/01/2006 09:24 Emeric <REP> ..

28/01/2006 09:24 Emeric <REP> .

28/01/2006 09:24 Emeric <REP> Sun

28/01/2006 09:24 Emeric <REP> You've Got Pictures Screensaver

3 fichier(s) 23453 octets

30 R‚p(s) 34285801472 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 7C95-CFB2

 

R‚pertoire de C:\Documents and Settings\Default User\Application Data

 

28/01/2006 09:23 Emeric <REP> Adobe

28/01/2006 09:23 Emeric <REP> AOL

28/01/2006 09:23 Emeric <REP> CyberLink

28/01/2006 09:23 Emeric <REP> Macromedia

28/01/2006 09:23 Emeric <REP> Musicmatch

28/01/2006 09:23 Emeric <REP> Real

28/01/2006 09:23 Emeric <REP> Sun

28/01/2006 09:23 Emeric <REP> You've Got Pictures Screensaver

22/06/2005 16:17 Emeric 62 desktop.ini

22/06/2005 16:17 Emeric <REP> ..

22/06/2005 16:17 Emeric <REP> .

22/06/2005 16:17 Emeric <REP> Microsoft

22/06/2005 14:23 Emeric <REP> Identities

1 fichier(s) 62 octets

12 R‚p(s) 34285801472 octets libres

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 7C95-CFB2

 

R‚pertoire de C:\Documents and Settings\Propri‚taire\Application Data

 

05/02/2006 09:45 Emeric <REP> ..

05/02/2006 09:45 Emeric <REP> You've Got Pictures Screensaver

05/02/2006 09:45 Emeric <REP> .

0 fichier(s) 0 octets

3 R‚p(s) 34285801472 octets libres

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

 

Le volume dans le lecteur C s'appelle BOOT

Le num‚ro de s‚rie du volume est 7C95-CFB2

 

R‚pertoire de C:\WINDOWS\Tasks

 

06/11/2006 11:12 Emeric 364 Check Updates for Windows Live Toolbar.job

14/07/2006 19:02 Emeric 32ÿ448 SCHEDLGU.TXT

25/02/2006 08:16 Emeric 370 MP Scheduled Scan.job

22/06/2005 14:26 Emeric 6 SA.DAT

22/06/2005 14:22 Emeric <REP> ..

22/06/2005 14:22 Emeric <REP> .

22/06/2005 14:11 Emeric 65 desktop.ini

5 fichier(s) 33ÿ253 octets

2 R‚p(s) 34ÿ285ÿ801ÿ472 octets libres

 

******************************************

Recherche dans Program files

 

Le dossier C:\Program Files\C2Media n'existe pas

 

*************** Fin du rapport ****************

 

Cette ligne de hijackthis est elle légitime car je ne l'avais pas avant :

c:\progra~1\intern~1\iexplore.exe

 

merci encore. Quand je vois le nombre de lignes dans hijackthis qui ont été rajoutées après l'installation de messenger plus, j'ai préféré faire appel à vous lol.

Modifié par trankill
Lien vers le commentaire
Partager sur d’autres sites

re!

 

Je jette un oeil à tes rapports et te laisse une réponse sous peu :P

ps:

cette ligne => c:\progra~1\intern~1\iexplore.exe est bien légitime (tu devais avoir deux fenêtres ouvertes quand tu as effectué ton rapport!)...

 

De retour! Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

-Télécharge puis installe AVG Anti-Spyware (AVG AS)

Une fois AVG AS lancé, clique sur "Mise à jour"

Ferme le programme.

 

télécharge le logiciel Lopremover

dézippe le dossier sur le bureau.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [Pop 32 eggs view] C:\Documents and Settings\All Users\Application Data\Inter Web Pop 32\memo vc.exe

O4 - HKCU\..\Run: [Time Wait] C:\DOCUME~1\CARREF~1\APPLIC~1\ThisMix\Hideeggsrule.exe

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 3:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime les dossiers (en gras ci dessous) dans C:\Documents and Settings:

 

C:\Documents and Settings\All Users\Application Data\Inter Web Pop 32

 

C:\Documents and Settings\carrefour\Application Data\ThisMix

 

Étape 4:

 

* Lance Lopremover.Il va vérifier et supprimer tous les "restes" de l'infection

 

Une fois le logiciel lancé, insere les chiffres dans la case, puis clique sur "UNINSTALL"

 

Étape 5:

 

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

  • Pour internet explorer
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
     
    Pour Firefox
    Sous l'onglet Firefox, choisis : Select All
    Clique le bouton Empty Selected
     
    Clique Exit, du menu prinicipal, afin de fermer le programme.

Étape 6:

 

Relance AVG AS puis choisis l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"

Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

 

/!\ Si un fichier est infecté détécté en fin d'analyse /!\

Clique sur "Appliquer toutes les actions "

 

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistre ce fichier texte sur ton bureau.

 

Étape 7:

 

Redémarre normalement ton pc et poste les rappport suivants:

 

-Un nouveau rapport hijackthis.

-Le rapport d'AVG As

 

@+

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

re,

alors j'ai tout fait excepté lopremover. Dès que je le dezzipe, avast m'envoie une alerte concernant le trojan swizzor.

J'ai beau ignoré l'alerte de avast, rien ne se passe quand je clique sur l'executable.

 

Voici les rapports :

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 14:38 Emeric 07/11/2006

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\carrefour\Bureau\VMXBuilderSetup\VMXBuilderSetup.exe -> Adware.MediaTicket : Nettoyé et sauvegardé (mise en quarantaine).

C:\VMXBuilder\uninst.exe -> Adware.MediaTicket : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\carrefour\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Nettoyé.

C:\Documents and Settings\carrefour\Cookies\carrefour@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\carrefour\Cookies\carrefour@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

 

 

Fin du rapport

 

et hijackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:59 Emeric, on 07/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\vmware-authd.exe

C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\zHotkey.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\TPPALDR.EXE

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\securite\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe

O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?0c258987e6bc4a5d90629bb7e021feb6

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?0c258987e6bc4a5d90629bb7e021feb6

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner...can_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1119456806656

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1121082381687

O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1429142C-A674-4904-BB3F-3FA092CD1CB8}: NameServer = 86.64.145.140 84.103.237.140

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

Merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites

salut trankill :P

 

ok c'est pas grave pour lopremover! le principal, c'est que tu ais éliminé les dossiers installés par Lop.

Ton rapport hijackthis est clean :P Est ce que tu vois encore des pubs quand tu surfes?

Pour finir, un dernier scan, mais en ligne pour s'assurer que tout vas bien =>

 

Fais un scan en ligne avec Kaspersky WebScanner

Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Poste le rapport qui sera généré stp.

Poste le résultat pour voir si rien ne subsiste sur ton pc

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

@+ tard

Lien vers le commentaire
Partager sur d’autres sites

Ok je vais faire le scan avec kaspersky.

 

Pour les lignes R0 R1... que dois je faire pour que google soit à nouveau ma page d'accueil dans IE ?

Et les lignes concernant windows live toolbar que je ne souhaite pas sur mon pc, je les fixe ?

 

Je lance le scan et te tiens au courant.

 

Merci charles ingals :P

Lien vers le commentaire
Partager sur d’autres sites

Pour les lignes R0 R1... que dois je faire pour que google soit à nouveau ma page d'accueil dans IE ?

On rêgle les deux problèmes en fixant les lignes suivantes =>

 

si tu ne veux plus de cette toolbar, passe par Ajouter/Supprimer des programmes(Panneau de configuration) et élimine le programme Windows Live Toolbar

 

Lance hijackthis et clique sur "Do a system scan only", coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

 

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

-Ferme tous les programmes et clique sur "Fix Checked"

 

du fait que tu as peut être éliminé la toolbar via Ajouter/Supprimer des programmes , certaines des lignes citées plus haut n'apparaissent plus dans le rapport ,c'est normal.

Ensuite tu ouvres Firefox(ou IE) et tu n'as plus qu'à saisir manuellement l'adresse de Google pour la mettre en page d'accueil .

 

@+ tard :P

Lien vers le commentaire
Partager sur d’autres sites

salut :P

 

Alors est ce que tu as encore des pages de pub qui s'ouvrent quand tu surfes? Le pc fonctionne correctement?

 

Je t'avais fais faire ceci pour avoir acces à tous les fichiers =>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

A présent recache tous ces dossiers pour ne pas en effacer un par erreur!

 

* pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=>

 

Supprime la restauration système=> aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

@+ tard

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...