Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[resolu]je craque !!!

pinok

Par pinok
dans Analyses et éradication malwares

 Partager

Messages recommandés

pinok Member

pinok

Posté(e)
Posté(e)

bonjour a tous,

 

je suis en train de kraqué cela depuis ce matin 7 h que je suis dans le cambouis... avec un véritable cauchemar

 

1ère j'ai un virus que je ne sais pas le nom qui m'oriente sur un site de programme antivirus et system alert qui me coupe la connection du net.

 

2ème après avoir bidoullier comme un malade et j'ai mon antivir qui ne veut plus fonctionner en mode sans échec mais très bien en normal. et parfois il m'indique ceux-ci " trojan tr roobit.gen " dont je refuse l'accés

 

3ème et comme toujours une "connerie" n'arrive pas seul j'ai un message qui me dit cela " c:\windows\system32\wmpmde.exe" qui est introuvable

 

alors si quelqu'un peut m'aider j'en serai ravi...

pinok Member

pinok

Posté(e)
  • Auteur
Posté(e)
bonjour a tous,

 

je suis en train de kraqué cela depuis ce matin 7 h que je suis dans le cambouis... avec un véritable cauchemar

 

1ère j'ai un virus que je ne sais pas le nom qui m'oriente sur un site de programme antivirus et system alert qui me coupe la connection du net.

 

2ème après avoir bidoullier comme un malade et j'ai mon antivir qui ne veut plus fonctionner en mode sans échec mais très bien en normal. et parfois il m'indique ceux-ci " trojan tr roobit.gen " dont je refuse l'accés

 

3ème et comme toujours une "connerie" n'arrive pas seul j'ai un message qui me dit cela " c:\windows\system32\wmpmde.exe" qui est introuvable

 

alors si quelqu'un peut m'aider j'en serai ravi...

 

j'ai oublier de vous donner le rapport de hijaktis donc voici

 

Logfile of HijackThis v1.99.1

Scan saved at 23:44:50, on 11/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\vsnpstd2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Acer\eRecovery\Monitor.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\hijakthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run="C:\WINDOWS\system32\wmpmde.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - (no file)

O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - (no file)

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\pinok\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) -

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{310A6F1C-D06B-4CD4-8B2E-C8713399C65C}: NameServer = 80.10.246.2,80.10.246.129

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

angelique Devil Member !

angelique

Posté(e)
Posté(e)

'jour

 

1/relance hijackthis " do a system scan only", coche uniquement et clic fixchecked:

 

F3 - REG:win.ini: run="C:\WINDOWS\system32\wmpmde.exe"

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - (no file)

O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\pinok\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

<--ne coche pas les 2 là si c'est toi qui a mis ces restriction IE via spybot par exemple.

 

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)

 

2/supprime si toujours present,les dossiers/fichiers en gras(affiche fichiers/dossiers cachés via poste de travail/outils/option des dossiers/affichage/coche afficher dossiers et fichiers cachés....)

 

C:\DOCUME~1\pinok\APPLIC~1\ACEBIT~1

C:\WINDOWS\system32\wmpmde.exe

 

 

 

 

3/Télécharge :

 

- lopxpMH2 de Lazzzy sur ton bureau.

 

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

 

 

Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat.

 

Dans ta prochaine réponse, poste :

- le contenu du rapport qui va s'ouvrir avec un nouveau rapport Hijackthis.

 

-------------------

nb: Je regarderais ces rapports que ce soir 19:00-20:00 'cause taf la journée.

pinok Member

pinok

Posté(e)
  • Auteur
Posté(e)
'jour

 

1/relance hijackthis " do a system scan only", coche uniquement et clic fixchecked:

 

F3 - REG:win.ini: run="C:\WINDOWS\system32\wmpmde.exe"

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {CDE8EAB9-CEF3-4885-B12F-26960A25C800} - (no file)

O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [deleteshow] C:\DOCUME~1\pinok\APPLIC~1\ACEBIT~1\SURF SOFTWARE SIZE.exe

 

<--ne coche pas les 2 là si c'est toi qui a mis ces restriction IE via spybot par exemple.

 

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)

 

2/supprime si toujours present,les dossiers/fichiers en gras(affiche fichiers/dossiers cachés via poste de travail/outils/option des dossiers/affichage/coche afficher dossiers et fichiers cachés....)

 

C:\DOCUME~1\pinok\APPLIC~1\ACEBIT~1

C:\WINDOWS\system32\wmpmde.exe

3/Télécharge :

 

- lopxpMH2 de Lazzzy sur ton bureau.

 

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat.

 

Dans ta prochaine réponse, poste :

- le contenu du rapport qui va s'ouvrir avec un nouveau rapport Hijackthis.

 

-------------------

nb: Je regarderais ces rapports que ce soir 19:00-20:00 'cause taf la journée.

 

bonjour angelique, prends ton temps ce soir je sais ce ke sais une journée de taf... et merci a toi de ton aide

 

voila donc le rapport hijacktis

 

j'ai enlevé le 2 lignes 06 "restriction" puis celui de nokia car cé un logiciel mal enlevé..

par-contre j'ai encore ce fameuse "system alert " en clignotant

 

Logfile of HijackThis v1.99.1

Scan saved at 10:28:36, on 12/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Acer\eRecovery\Monitor.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\vsnpstd2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\hijakthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) -

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{310A6F1C-D06B-4CD4-8B2E-C8713399C65C}: NameServer = 80.10.246.2,80.10.246.129

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

ensuite le rapport lopxpmh2

 

Logfile of HijackThis v1.99.1

Scan saved at 10:28:36, on 12/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Acer\eRecovery\Monitor.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\vsnpstd2.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\hijakthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.5.0_02) -

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{310A6F1C-D06B-4CD4-8B2E-C8713399C65C}: NameServer = 80.10.246.2,80.10.246.129

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

angelique Devil Member !

angelique

Posté(e)
Posté(e)
ensuite le rapport lopxpmh2

 

Il est où ? ;o)

tu m'as mis les 2 memes rapport rapport HJT

 

**Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

exécute Smitfraudfix.exe

Dans le menu, sélectionne 1 et poste le rapport généré avec un nouveau rapport Hijackthis et le rapport de lopxpMH2

pinok Member

pinok

Posté(e)
  • Auteur
Posté(e)
Il est où ? ;o)

tu m'as mis les 2 memes rapport rapport HJT

 

**Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

exécute Smitfraudfix.exe

Dans le menu, sélectionne 1 et poste le rapport généré avec un nouveau rapport Hijackthis et le rapport de lopxpMH2

 

 

excuse moi je n'est pas vu le dbl je te fait la suite que tu ma demander...

 

Rapport lopxpMH2 version 2.0 fait à 11:08:00,00 le 12/07/2007

C:\Documents and Settings\pinok\Bureau\lopxpmh2\lopxpMH2

 

******************************************

## Répertoires Application Data

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Default User\Application Data

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

08/05/2007 18:20 <REP> Identities

09/07/2005 17:23 <REP> Microsoft

09/07/2005 17:23 62 desktop.ini

1 fichier(s) 62 octets

4 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

08/05/2007 18:20 <REP> ApplicationHistory

09/07/2005 17:28 <REP> Microsoft

08/05/2007 18:20 137 fusioncache.dat

08/05/2007 18:20 1 575 290 IconCache.db

2 fichier(s) 1 575 427 octets

4 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\All Users\Application Data

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

09/07/2005 17:43 <REP> Adobe

11/07/2007 23:23 <REP> AntiVir PersonalEdition Classic

13/05/2007 15:24 <REP> Apple Computer

09/07/2005 17:43 <REP> CyberLink

16/06/2007 11:48 <REP> IdleGplLogClock

05/07/2007 00:28 <REP> Installations

09/07/2005 17:23 <REP> Microsoft

17/05/2007 21:06 <REP> Spybot - Search & Destroy

10/07/2007 13:15 <REP> TEMP

19/06/2007 12:11 <REP> Windows Genuine Advantage

13/05/2007 21:20 305 addr_file.html

09/07/2005 17:23 62 desktop.ini

19/05/2007 17:51 0 LauncherAccess.dt

13/05/2007 16:37 1 755 QTSBandwidthCache

4 fichier(s) 2 122 octets

12 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\NetworkService\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

10/05/2007 22:49 <REP> PCHealth

0 fichier(s) 0 octets

4 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\LocalService\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Administrateur\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:38 <REP> Identities

09/07/2005 17:33 <REP> Microsoft

09/07/2005 17:33 62 desktop.ini

1 fichier(s) 62 octets

4 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 18:40 <REP> ApplicationHistory

09/07/2005 17:33 <REP> Microsoft

09/07/2005 18:40 137 fusioncache.dat

09/07/2005 17:42 1 575 290 IconCache.db

2 fichier(s) 1 575 427 octets

4 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\pinok\Application Data

 

08/05/2007 18:21 <REP> .

08/05/2007 18:21 <REP> ..

16/06/2007 11:48 <REP> acebitssite

19/05/2007 17:25 <REP> Adobe

21/05/2007 18:55 <REP> AdobeUM

13/05/2007 16:27 <REP> Apple Computer

16/06/2007 11:48 <REP> BitDownload

19/05/2007 18:54 <REP> ConvertTemp

19/06/2007 02:20 <REP> CyberLink

08/05/2007 21:26 <REP> Identities

13/05/2007 02:27 <REP> LimeWire

08/05/2007 18:44 <REP> Macromedia

08/05/2007 18:21 <REP> Microsoft

21/05/2007 00:14 <REP> Microsoft Web Folders

08/05/2007 18:33 <REP> Mozilla

19/05/2007 18:15 <REP> Samsung

26/05/2007 01:14 <REP> Sun

08/05/2007 18:33 <REP> Thunderbird

19/05/2007 18:28 <REP> TransRender

13/05/2007 12:40 <REP> vlc

0 fichier(s) 0 octets

20 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\pinok\Local Settings\Application Data

 

08/05/2007 18:21 <REP> .

08/05/2007 18:21 <REP> ..

08/05/2007 21:26 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}

19/05/2007 17:25 <REP> Adobe

13/05/2007 16:26 <REP> Apple Computer

08/05/2007 21:26 <REP> ApplicationHistory

20/06/2007 11:22 <REP> Identities

15/06/2007 08:05 <REP> IM

08/05/2007 18:21 <REP> Microsoft

08/05/2007 18:37 <REP> Mozilla

08/05/2007 21:26 <REP> Thunderbird

08/05/2007 18:29 86 016 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

08/05/2007 18:21 128 fusioncache.dat

11/05/2007 05:59 38 264 GDIPFONTCACHEV1.DAT

21/06/2007 12:34 4 612 952 IconCache.db

4 fichier(s) 4 737 360 octets

11 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

 

09/07/2005 17:31 <REP> .

09/07/2005 17:31 <REP> ..

08/05/2007 18:21 <REP> Identities

09/07/2005 17:31 <REP> Microsoft

10/07/2007 20:53 <REP> Spyware Terminator

08/05/2007 18:21 <REP> Symantec

09/07/2005 17:31 62 desktop.ini

1 fichier(s) 62 octets

6 Rép(s) 55 594 024 960 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

 

09/07/2005 17:31 <REP> .

09/07/2005 17:31 <REP> ..

08/05/2007 18:21 <REP> ApplicationHistory

09/07/2005 17:31 <REP> Microsoft

08/05/2007 18:21 137 fusioncache.dat

08/05/2007 18:21 1 575 290 IconCache.db

2 fichier(s) 1 575 427 octets

4 Rép(s) 55 594 024 960 octets libres

 

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

 

 

C:\WINDOWS\Tasks\AFF5F904919E6E30.job

‰>6Á]è(L°lçë|ï@'F Ô <

s "ˆ!×

6 c : \ d o c u m e ~ 1 \ p i n o k \ a p p l i c ~ 1 \ a c e b i t ~ 1 \ L i e s l i s t t r u s t . e x e p i n o k € 0 Ñ <

******************************************

## Répertoires de C:\Program Files

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Program Files

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

09/07/2005 18:31 <REP> acer

09/07/2005 17:43 <REP> Adobe

11/07/2007 23:23 <REP> AntiVir PersonalEdition Classic

03/07/2007 02:01 <REP> ArcSoft

27/06/2007 01:37 <REP> CCleaner

09/07/2005 17:43 <REP> CyberLink

05/07/2007 00:33 <REP> DIFX

23/05/2007 00:18 <REP> eMule

19/05/2007 09:03 <REP> epson

09/07/2005 17:23 <REP> Fichiers communs

13/05/2007 12:35 <REP> Files-Destructor

09/07/2005 18:40 <REP> FrenchOtto

09/07/2005 18:40 <REP> GemMasterFrench

11/07/2007 20:13 <REP> hijakthis

09/07/2005 17:26 <REP> Internet Explorer

08/05/2007 18:22 <REP> Java

08/05/2007 19:41 <REP> jv16 PowerTools

08/05/2007 19:03 <REP> Lavalys

13/05/2007 02:27 <REP> LimeWire

09/07/2005 17:25 <REP> Messenger

09/07/2005 17:28 <REP> microsoft frontpage

21/05/2007 00:14 <REP> Microsoft Office

09/07/2005 17:25 <REP> Movie Maker

08/05/2007 18:37 <REP> Mozilla Firefox

20/05/2007 00:07 <REP> Mozilla Thunderbird

09/07/2005 17:25 <REP> MSN Gaming Zone

08/05/2007 18:41 <REP> MSN Messenger

19/06/2007 12:33 <REP> MSXML 4.0

09/07/2005 17:26 <REP> NetMeeting

09/07/2005 17:39 <REP> NewTech Infosystems

09/07/2005 17:25 <REP> Online Services

09/07/2005 17:26 <REP> Outlook Express

05/07/2007 00:29 <REP> PC Connectivity Solution

08/05/2007 18:40 <REP> PC Inspector File Recovery

09/07/2005 17:41 <REP> Realtek

21/05/2007 17:29 <REP> Samsung

09/07/2005 17:27 <REP> Services en ligne

17/05/2007 21:06 <REP> Spybot - Search & Destroy

08/05/2007 18:32 <REP> SuperCopier2

10/05/2007 20:58 <REP> Trust

13/05/2007 12:38 <REP> VideoLAN

09/07/2005 17:25 <REP> Windows Media Player

09/07/2005 17:25 <REP> Windows NT

09/07/2005 17:25 <REP> Windows Plus

09/07/2005 17:28 <REP> xerox

0 fichier(s) 0 octets

47 Rép(s) 55 594 024 960 octets libres

 

******************************************

## Popups autorisées

 

* Internet Explorer

 

! REG.EXE VERSION 3.0

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

netbios-wait.com REG_SZ

www.netbios-wait.com REG_SZ

 

* Mozilla Firefox (1 autorisé 2 interdit)

 

---------- C:\DOCUMENTS AND SETTINGS\PINOK\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\16T1KI2D.DEFAULT\HOSTPERM.1

host popup 1 www.emule-inside.net

host popup 1 www.radins.com

host popup 1 www.01net.com

host popup 1 www.emutorrent.com

 

******************************************

## Registre

 

******************************************

## Zones de sécurité

 

* HKCU Domains (4)

 

* P3P History (5)

 

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

 

 

*************** Fin du rapport ****************

Rapport lopxpMH2 version 2.0 fait à 19:30:24,31 le 12/07/2007

C:\Documents and Settings\pinok\Bureau\lopxpmh2\lopxpMH2

 

******************************************

## Répertoires Application Data

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Default User\Application Data

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

08/05/2007 18:20 <REP> Identities

09/07/2005 17:23 <REP> Microsoft

09/07/2005 17:23 62 desktop.ini

1 fichier(s) 62 octets

4 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

08/05/2007 18:20 <REP> ApplicationHistory

09/07/2005 17:28 <REP> Microsoft

08/05/2007 18:20 137 fusioncache.dat

08/05/2007 18:20 1 575 290 IconCache.db

2 fichier(s) 1 575 427 octets

4 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\All Users\Application Data

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

09/07/2005 17:43 <REP> Adobe

11/07/2007 23:23 <REP> AntiVir PersonalEdition Classic

13/05/2007 15:24 <REP> Apple Computer

09/07/2005 17:43 <REP> CyberLink

16/06/2007 11:48 <REP> IdleGplLogClock

05/07/2007 00:28 <REP> Installations

09/07/2005 17:23 <REP> Microsoft

17/05/2007 21:06 <REP> Spybot - Search & Destroy

10/07/2007 13:15 <REP> TEMP

19/06/2007 12:11 <REP> Windows Genuine Advantage

13/05/2007 21:20 305 addr_file.html

09/07/2005 17:23 62 desktop.ini

19/05/2007 17:51 0 LauncherAccess.dt

13/05/2007 16:37 1 755 QTSBandwidthCache

4 fichier(s) 2 122 octets

12 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\NetworkService\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

10/05/2007 22:49 <REP> PCHealth

0 fichier(s) 0 octets

4 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\LocalService\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:33 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Administrateur\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 17:38 <REP> Identities

09/07/2005 17:33 <REP> Microsoft

09/07/2005 17:33 62 desktop.ini

1 fichier(s) 62 octets

4 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

 

09/07/2005 17:33 <REP> .

09/07/2005 17:33 <REP> ..

09/07/2005 18:40 <REP> ApplicationHistory

09/07/2005 17:33 <REP> Microsoft

09/07/2005 18:40 137 fusioncache.dat

09/07/2005 17:42 1 575 290 IconCache.db

2 fichier(s) 1 575 427 octets

4 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\pinok\Application Data

 

08/05/2007 18:21 <REP> .

08/05/2007 18:21 <REP> ..

16/06/2007 11:48 <REP> acebitssite

19/05/2007 17:25 <REP> Adobe

21/05/2007 18:55 <REP> AdobeUM

13/05/2007 16:27 <REP> Apple Computer

16/06/2007 11:48 <REP> BitDownload

19/05/2007 18:54 <REP> ConvertTemp

19/06/2007 02:20 <REP> CyberLink

08/05/2007 21:26 <REP> Identities

13/05/2007 02:27 <REP> LimeWire

08/05/2007 18:44 <REP> Macromedia

08/05/2007 18:21 <REP> Microsoft

21/05/2007 00:14 <REP> Microsoft Web Folders

08/05/2007 18:33 <REP> Mozilla

19/05/2007 18:15 <REP> Samsung

26/05/2007 01:14 <REP> Sun

08/05/2007 18:33 <REP> Thunderbird

19/05/2007 18:28 <REP> TransRender

13/05/2007 12:40 <REP> vlc

0 fichier(s) 0 octets

20 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Documents and Settings\pinok\Local Settings\Application Data

 

08/05/2007 18:21 <REP> .

08/05/2007 18:21 <REP> ..

08/05/2007 21:26 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}

19/05/2007 17:25 <REP> Adobe

13/05/2007 16:26 <REP> Apple Computer

08/05/2007 21:26 <REP> ApplicationHistory

20/06/2007 11:22 <REP> Identities

15/06/2007 08:05 <REP> IM

08/05/2007 18:21 <REP> Microsoft

08/05/2007 18:37 <REP> Mozilla

08/05/2007 21:26 <REP> Thunderbird

08/05/2007 18:29 86 016 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

08/05/2007 18:21 128 fusioncache.dat

11/05/2007 05:59 38 264 GDIPFONTCACHEV1.DAT

21/06/2007 12:34 4 612 952 IconCache.db

4 fichier(s) 4 737 360 octets

11 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

 

09/07/2005 17:31 <REP> .

09/07/2005 17:31 <REP> ..

08/05/2007 18:21 <REP> Identities

09/07/2005 17:31 <REP> Microsoft

10/07/2007 20:53 <REP> Spyware Terminator

08/05/2007 18:21 <REP> Symantec

09/07/2005 17:31 62 desktop.ini

1 fichier(s) 62 octets

6 Rép(s) 55 523 737 600 octets libres

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

 

09/07/2005 17:31 <REP> .

09/07/2005 17:31 <REP> ..

08/05/2007 18:21 <REP> ApplicationHistory

09/07/2005 17:31 <REP> Microsoft

08/05/2007 18:21 137 fusioncache.dat

08/05/2007 18:21 1 575 290 IconCache.db

2 fichier(s) 1 575 427 octets

4 Rép(s) 55 523 737 600 octets libres

 

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

 

 

C:\WINDOWS\Tasks\AFF5F904919E6E30.job

‰>6Á]è(L°lçë|ï@'F Ô <

s "ˆ!×

6 c : \ d o c u m e ~ 1 \ p i n o k \ a p p l i c ~ 1 \ a c e b i t ~ 1 \ L i e s l i s t t r u s t . e x e p i n o k € 0 Ñ <

******************************************

## Répertoires de C:\Program Files

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 0954-16DC

 

Répertoire de C:\Program Files

 

09/07/2005 17:23 <REP> .

09/07/2005 17:23 <REP> ..

09/07/2005 18:31 <REP> acer

09/07/2005 17:43 <REP> Adobe

11/07/2007 23:23 <REP> AntiVir PersonalEdition Classic

03/07/2007 02:01 <REP> ArcSoft

27/06/2007 01:37 <REP> CCleaner

09/07/2005 17:43 <REP> CyberLink

05/07/2007 00:33 <REP> DIFX

23/05/2007 00:18 <REP> eMule

19/05/2007 09:03 <REP> epson

09/07/2005 17:23 <REP> Fichiers communs

13/05/2007 12:35 <REP> Files-Destructor

09/07/2005 18:40 <REP> FrenchOtto

09/07/2005 18:40 <REP> GemMasterFrench

11/07/2007 20:13 <REP> hijakthis

09/07/2005 17:26 <REP> Internet Explorer

08/05/2007 18:22 <REP> Java

08/05/2007 19:41 <REP> jv16 PowerTools

08/05/2007 19:03 <REP> Lavalys

13/05/2007 02:27 <REP> LimeWire

09/07/2005 17:25 <REP> Messenger

09/07/2005 17:28 <REP> microsoft frontpage

21/05/2007 00:14 <REP> Microsoft Office

09/07/2005 17:25 <REP> Movie Maker

08/05/2007 18:37 <REP> Mozilla Firefox

20/05/2007 00:07 <REP> Mozilla Thunderbird

09/07/2005 17:25 <REP> MSN Gaming Zone

08/05/2007 18:41 <REP> MSN Messenger

19/06/2007 12:33 <REP> MSXML 4.0

09/07/2005 17:26 <REP> NetMeeting

09/07/2005 17:39 <REP> NewTech Infosystems

09/07/2005 17:25 <REP> Online Services

09/07/2005 17:26 <REP> Outlook Express

05/07/2007 00:29 <REP> PC Connectivity Solution

08/05/2007 18:40 <REP> PC Inspector File Recovery

09/07/2005 17:41 <REP> Realtek

21/05/2007 17:29 <REP> Samsung

09/07/2005 17:27 <REP> Services en ligne

12/07/2007 12:59 <REP> Spybot - Search & Destroy

08/05/2007 18:32 <REP> SuperCopier2

10/05/2007 20:58 <REP> Trust

13/05/2007 12:38 <REP> VideoLAN

09/07/2005 17:25 <REP> Windows Media Player

09/07/2005 17:25 <REP> Windows NT

09/07/2005 17:25 <REP> Windows Plus

09/07/2005 17:28 <REP> xerox

0 fichier(s) 0 octets

47 Rép(s) 55 523 737 600 octets libres

 

******************************************

## Popups autorisées

 

* Internet Explorer

 

! REG.EXE VERSION 3.0

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

 

* Mozilla Firefox (1 autorisé 2 interdit)

 

---------- C:\DOCUMENTS AND SETTINGS\PINOK\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\16T1KI2D.DEFAULT\HOSTPERM.1

host popup 1 www.emule-inside.net

host popup 1 www.radins.com

host popup 1 www.01net.com

host popup 1 www.emutorrent.com

 

******************************************

## Registre

 

******************************************

## Zones de sécurité

 

* HKCU Domains (4)

 

* P3P History (5)

 

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

 

 

*************** Fin du rapport ****************

pinok Member

pinok

Posté(e)
  • Auteur
Posté(e)
Il est où ? ;o)

tu m'as mis les 2 memes rapport rapport HJT

 

**Télécharge SmitfraudFix de S!Ri, moe31 et balltrap34 ici:

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

exécute Smitfraudfix.exe

Dans le menu, sélectionne 1 et poste le rapport généré avec un nouveau rapport Hijackthis et le rapport de lopxpMH2

 

 

excuse moi j'ai fais une erreur de manipe antivir me la mit en quarantaine et ne peut allez sur le site

que dois-je faire...

angelique Devil Member !

angelique

Posté(e)
Posté(e)

Télécharger SmitfraudFix de S!Ri, moe31 et balltrap34 (

http://siri.urz.free.fr/Fix/SmitfraudFix.zip)

ou l'executif:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

Dézipper la totalité de l'archive dans un répertoire; exécuter Smitfraudfix.cmd ou bien lancer SmitfraudFix.exe

Dans le menu, sélectionner 1

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

idem pour clean de malekal,avec pskill.exe,remove.reg

 

Donc tu desactives temporairement avguard.exe, le resident d'antivir, clic droit sur le parapapluie, decoche "activate antivir guard", et tu passes smitfraudfix ^^

 

et tu me fais ça STP!

 

ouvre ton bloc note; et copie/colle le contenu du code ci dessous

 

@echo off
attrib -s -h -r C:\WINDOWS\Tasks\AFF5F904919E6E30.job
del C:\WINDOWS\Tasks\AFF5F904919E6E30.job
exit

 

tu l'enregistres sous (dans mes documents ou bureau ) et "type de fichier" tous les fichiers sous le nom remlop.bat

 

et tu l'executes

 

---------------------------

 

execute le .bat, smitfraudfix, je regarderais son rapport demain matin 06:30-07:20; et te donnerais le rste de la marche à suivre ;o)

pinok Member

pinok

Posté(e)
  • Auteur
Posté(e)

vraiment déso de cette mauvaise manip, j'ai fais le bat, mais il ne s'ouvre que 1seconde et puis lors de l'enregistrement il me mets divers codes..

 

sinon voici le rapport de smitfraudidx en mode sans échec

 

SmitFraudFix v2.195

 

Rapport fait à 20:35:14,20, 12/07/2007

Executé à partir de C:\Documents and Settings\pinok\Mes documents\t‚l‚chargement net\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est FAT32

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{98ca7898-6029-41ab-8f67-ea4f5e1afc22}"="biocomputing"

 

[HKEY_CLASSES_ROOT\CLSID\{98ca7898-6029-41ab-8f67-ea4f5e1afc22}\InProcServer32]

@="C:\WINDOWS\system32\myqlejy.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{98ca7898-6029-41ab-8f67-ea4f5e1afc22}\InProcServer32]

@="C:\WINDOWS\system32\myqlejy.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

127.0.0.1 bin.errorprotector.com ## added by CiD

127.0.0.1 br.errorsafe.com ## added by CiD

127.0.0.1 br.winantivirus.com ## added by CiD

127.0.0.1 br.winfixer.com ## added by CiD

127.0.0.1 cdn.drivecleaner.com ## added by CiD

127.0.0.1 cdn.errorsafe.com ## added by CiD

127.0.0.1 cdn.winsoftware.com ## added by CiD

127.0.0.1 de.errorsafe.com ## added by CiD

127.0.0.1 de.winantivirus.com ## added by CiD

127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

127.0.0.1 download.cdn.errorsafe.com ## added by CiD

127.0.0.1 download.cdn.winsoftware.com ## added by CiD

127.0.0.1 download.errorsafe.com ## added by CiD

127.0.0.1 download.systemdoctor.com ## added by CiD

127.0.0.1 download.winantispyware.com ## added by CiD

127.0.0.1 download.windrivecleaner.com ## added by CiD

127.0.0.1 download.winfixer.com ## added by CiD

127.0.0.1 drivecleaner.com ## added by CiD

127.0.0.1 dynamique.drivecleaner.com ## added by CiD

127.0.0.1 errorprotector.com ## added by CiD

127.0.0.1 errorsafe.com ## added by CiD

127.0.0.1 es.winantivirus.com ## added by CiD

127.0.0.1 fr.winantivirus.com ## added by CiD

127.0.0.1 fr.winfixer.com ## added by CiD

127.0.0.1 go.drivecleaner.com ## added by CiD

127.0.0.1 go.errorsafe.com ## added by CiD

127.0.0.1 go.winantispyware.com ## added by CiD

127.0.0.1 go.winantivirus.com ## added by CiD

127.0.0.1 hk.winantivirus.com ## added by CiD

127.0.0.1 instlog.errorsafe.com ## added by CiD

127.0.0.1 instlog.winantivirus.com ## added by CiD

127.0.0.1 instlog.winfixer.com ## added by CiD

127.0.0.1 jsp.drivecleaner.com ## added by CiD

127.0.0.1 kb.errorsafe.com ## added by CiD

127.0.0.1 kb.winantivirus.com ## added by CiD

127.0.0.1 nl.errorsafe.com ## added by CiD

127.0.0.1 se.errorsafe.com ## added by CiD

127.0.0.1 secure.drivecleaner.com ## added by CiD

127.0.0.1 secure.errorsafe.com ## added by CiD

127.0.0.1 secure.winantispam.com ## added by CiD

127.0.0.1 secure.winantispy.com ## added by CiD

127.0.0.1 secure.winantivirus.com ## added by CiD

127.0.0.1 support.winantivirus.com ## added by CiD

127.0.0.1 trial.updates.winsoftware.com ## added by CiD

127.0.0.1 ulog.winantivirus.com ## added by CiD

127.0.0.1 utils.errorsafe.com ## added by CiD

127.0.0.1 utils.winantivirus.com ## added by CiD

127.0.0.1 utils.winfixer.com ## added by CiD

127.0.0.1 winantispyware.com ## added by CiD

127.0.0.1 winantivirus.com ## added by CiD

127.0.0.1 winfixer.com ## added by CiD

127.0.0.1 winfixer2006.com ## added by CiD

127.0.0.1 winsoftware.com ## added by CiD

127.0.0.1 www.drivecleaner.com ## added by CiD

127.0.0.1 www.errorprotector.com ## added by CiD

127.0.0.1 www.errorsafe.com ## added by CiD

127.0.0.1 www.systemdoctor.com ## added by CiD

127.0.0.1 www.utils.winfixer.com ## added by CiD

127.0.0.1 www.win-anti-virus-pro.com ## added by CiD

127.0.0.1 www.win-virus-pro.com ## added by CiD

127.0.0.1 www.winantispam.com ## added by CiD

127.0.0.1 www.winantispy.com ## added by CiD

127.0.0.1 www.winantispyware.com ## added by CiD

127.0.0.1 www.winantivirus.com ## added by CiD

127.0.0.1 www.winantiviruspro.com ## added by CiD

127.0.0.1 www.windrivecleaner.com ## added by CiD

127.0.0.1 www.windrivesafe.com ## added by CiD

127.0.0.1 www.winfixer.com ## added by CiD

127.0.0.1 www.winfixer2006.com ## added by CiD

127.0.0.1 www.winsoftware.com ## added by CiD

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

C:\WINDOWS\system32\myqlejy.dll -> Hoax.Win32.Renos.gen.o

C:\WINDOWS\system32\myqlejy.dll -> Deleted

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{310A6F1C-D06B-4CD4-8B2E-C8713399C65C}: NameServer=80.10.246.2,80.10.246.129

HKLM\SYSTEM\CS2\Services\Tcpip\..\{310A6F1C-D06B-4CD4-8B2E-C8713399C65C}: NameServer=80.10.246.2,80.10.246.129

HKLM\SYSTEM\CS3\Services\Tcpip\..\{310A6F1C-D06B-4CD4-8B2E-C8713399C65C}: DhcpNameServer=192.168.1.1 0.0.0.0

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

angelique Devil Member !

angelique

Posté(e)
Posté(e)

**telecharges :

 

http://siri.urz.free.fr/Softs/RHosts.exe

 

et execute le "restaurer"

 

puis tapes dans executer et valide par enter:

 

%systemroot%\system32\drivers\etc

 

dans la fenetre qui s'ouvre clic droit sur "hosts"/proprietes/et coche lecture seule/appliquer/ferme la fenetre.

 

**je modifie quelque peu le .bat, refait le et reexecute le:

 

@echo off
cd C:\WINDOWS\Tasks
attrib -s -h -r AFF5F904919E6E30.job
del AFF5F904919E6E30.job
exit

 

 

veux tu me reposter un nouveau rapport lopxpMH2 STP! avec un nouveau rapport smitfraudfix(je ne t'avais pas dis de l'executer option 2 en mode sans echec ^^, c'est pas grave :P ) option 1, et un nouveau rapport Hijackthis.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...