Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

aide pour analyse de rapport

arno97133

Par arno97133
dans Analyses et éradication malwares

 Partager

Messages recommandés

arno97133 Junior Member

arno97133

Posté(e)
Posté(e)

Bonjour

J'ai un probleme depuis 2 jours , mon pc RAM comme un ouf et j'ai fait un rapport de hijackthis et voula se que sa donne

Logfile of HijackThis v1.99.1

Scan saved at 16:32:02, on 23/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

C:\WINDOWS\system32\ZoomingHook.exe

C:\WINDOWS\system32\TCtrlIOHook.exe

C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe

C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE

C:\WINDOWS\system32\CNAC3RPK.EXE

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Alwil Software\Avast4\setup\setup.ovr

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Arnaud\LOCALS~1\Temp\Rar$EX03.157\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cf.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll (file missing)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Blubster Toolbar Helper - {09AA6C75-179E-42E0-82F7-302603339A82} - C:\Program Files\Blubster Toolbar\v3.2.0.0\Blubster_Toolbar.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb105\Dealio.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {D74E3FD9-5495-9E8C-19E3-C856D3E0A146} - C:\DOCUME~1\Arnaud\APPLIC~1\AIMREF~1\AceObj.exe (file missing)

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll (file missing)

O3 - Toolbar: Blubster Toolbar - {7EFBC57C-CD57-481F-B794-648FCE9C9116} - C:\Program Files\Blubster Toolbar\v3.2.0.0\Blubster_Toolbar.dll (file missing)

O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb105\Dealio.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe

O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [smoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

O4 - HKLM\..\Run: [sVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Dent Poke Rect Tool] C:\Documents and Settings\All Users\Application Data\PingProxyDentPoke\Window Obj.exe

O4 - HKLM\..\Run: [Ad-watch] C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [mapi third] C:\DOCUME~1\Arnaud\APPLIC~1\GRAMPL~1\heart soap.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Compare Prices with &Dealio - C:\Program Files\Dealio\kb105\res\DealioSearch.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://julielafon777.spaces.live.com//Phot...ad/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1169582672046

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\WINDOWS\system32\pr2agqwc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

j'espere que quelqu'un peu m'aider car vous etez le dernier rempart avant le formatage et cela me ferai chier

aplus et merci de votre aide

Arno97133

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonsoir !

 

Fais ceci stp :

 

Télécharge :

 

- lopxpMH2 de Lazzzy :Phttp://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.

Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat.

 

Dans ta prochaine réponse, poste :

- le contenu du rapport qui va s'ouvrir

 

Puis

 

Télécharge AVG Anti-Spyware

http://free3.grisoft.cz/softw/70free/setup...up-7.5.0.50.exe

  • Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
  • Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
  • Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

  • Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
  • AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
  • Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
  • Redémarre ton ordi en mode Normal.

.

 

Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique fsbl.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

arno97133 Junior Member

arno97133

Posté(e)
  • Auteur
Posté(e)

merci de ton aide rege

Rapport lopxpMH2 version 2.0 fait à 19:17:23,70 le 23/07/2007

C:\Documents and Settings\Arnaud\Bureau

 

******************************************

## Répertoires Application Data

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\Administrateur\Application Data

 

05/02/2007 14:57 <REP> .

05/02/2007 14:57 <REP> ..

05/02/2007 14:57 <REP> Adobe

05/02/2007 14:57 <REP> Identities

05/02/2007 14:57 <REP> Microsoft

05/02/2007 14:57 <REP> Sonic

05/02/2007 14:57 <REP> Symantec

05/02/2007 14:57 <REP> toshiba

05/02/2007 14:58 62 desktop.ini

1 fichier(s) 62 octets

8 Rép(s) 14 663 872 512 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

 

05/02/2007 14:57 <REP> .

05/02/2007 14:57 <REP> ..

05/02/2007 14:57 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150010}

05/02/2007 14:57 <REP> Adobe

05/02/2007 14:57 <REP> ApplicationHistory

05/02/2007 14:57 <REP> Microsoft

05/02/2007 14:57 <REP> Toshiba

05/02/2007 14:57 135 fusioncache.dat

05/02/2007 14:57 2 205 456 IconCache.db

2 fichier(s) 2 205 591 octets

7 Rép(s) 14 663 872 512 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\All Users\Application Data

 

23/05/2005 09:08 <REP> .

23/05/2005 09:08 <REP> ..

14/02/2007 00:55 <REP> Adobe

12/06/2007 14:53 <REP> Age of Empires 3

16/03/2007 16:12 <REP> Apple Computer

18/06/2007 01:33 <REP> GlobalSCAPE

29/01/2007 23:07 <REP> Google

29/05/2007 12:29 <REP> Logitech

23/05/2005 09:08 <REP> Microsoft

23/05/2005 07:21 <REP> SBSI

19/01/2007 20:41 <REP> Spybot - Search & Destroy

24/05/2005 02:56 <REP> Symantec

20/01/2007 20:57 <REP> Windows Genuine Advantage

05/02/2007 01:03 <REP> Windows Live Toolbar

28/01/2007 15:22 <REP> Yahoo! Companion

23/05/2005 09:09 62 desktop.ini

1 fichier(s) 62 octets

15 Rép(s) 14 663 872 512 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\Arnaud\Application Data

 

19/01/2007 06:48 <REP> .

19/01/2007 06:48 <REP> ..

19/01/2007 06:49 <REP> Adobe

20/01/2007 19:38 <REP> AdobeUM

16/03/2007 16:13 <REP> Apple Computer

08/06/2007 22:38 <REP> Azureus

18/06/2007 13:25 <REP> BitTorrent

10/05/2007 13:59 <REP> DNA

25/03/2007 18:52 <REP> dvdcss

18/06/2007 01:32 <REP> GlobalSCAPE

29/01/2007 23:17 <REP> Google

24/04/2007 16:33 <REP> Help

19/01/2007 06:49 <REP> Identities

12/07/2007 12:44 <REP> InstallShield

03/02/2007 21:56 <REP> InterVideo

27/01/2007 15:39 <REP> Lavasoft

29/05/2007 12:32 <REP> Logitech

19/01/2007 13:11 <REP> Macromedia

19/01/2007 06:48 <REP> Microsoft

29/01/2007 23:11 <REP> Mozilla

16/06/2007 15:05 <REP> SecuROM

19/01/2007 06:48 <REP> Sonic

11/06/2007 01:39 <REP> Sun

19/01/2007 06:48 <REP> Symantec

19/01/2007 06:48 <REP> toshiba

07/07/2007 01:05 <REP> UseNeXT

19/01/2007 17:21 <REP> vlc

22/07/2007 15:17 <REP> WinRAR

19/01/2007 06:49 62 desktop.ini

1 fichier(s) 62 octets

28 Rép(s) 14 663 868 416 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\Arnaud\Local Settings\Application Data

 

19/01/2007 06:48 <REP> .

19/01/2007 06:48 <REP> ..

19/01/2007 06:48 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150010}

19/01/2007 06:48 <REP> Adobe

16/03/2007 16:13 <REP> Apple Computer

07/07/2007 01:05 <REP> ApplicationHistory

10/05/2007 13:59 <REP> DNA

18/06/2007 01:33 <REP> GlobalSCAPE

29/01/2007 23:07 <REP> Google

24/04/2007 16:33 <REP> Help

04/02/2007 01:47 <REP> Identities

19/01/2007 06:48 <REP> Microsoft

22/07/2007 16:03 <REP> Mozilla

30/05/2007 10:35 <REP> Oblivion

19/01/2007 06:48 <REP> Toshiba

22/01/2007 16:23 <REP> WMTools Downloaded Files

19/01/2007 13:18 143 360 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

19/01/2007 06:49 129 fusioncache.dat

19/01/2007 15:34 30 568 GDIPFONTCACHEV1.DAT

19/01/2007 06:49 5 335 578 IconCache.db

4 fichier(s) 5 509 635 octets

16 Rép(s) 14 663 868 416 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\Default User\Application Data

 

23/05/2005 09:08 <REP> .

23/05/2005 09:08 <REP> ..

19/01/2007 06:47 <REP> Adobe

19/01/2007 06:47 <REP> Identities

23/05/2005 09:08 <REP> Microsoft

19/01/2007 06:47 <REP> Sonic

19/01/2007 06:47 <REP> Symantec

19/01/2007 06:47 <REP> toshiba

23/05/2005 09:09 62 desktop.ini

1 fichier(s) 62 octets

8 Rép(s) 14 663 868 416 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

 

23/05/2005 09:09 <REP> .

23/05/2005 09:09 <REP> ..

19/01/2007 06:47 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150010}

19/01/2007 06:47 <REP> Adobe

19/01/2007 06:47 <REP> ApplicationHistory

23/05/2005 07:16 <REP> Microsoft

19/01/2007 06:47 <REP> Toshiba

19/01/2007 06:47 135 fusioncache.dat

19/01/2007 06:47 4 817 774 IconCache.db

2 fichier(s) 4 817 909 octets

7 Rép(s) 14 664 089 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\LocalService\Application Data

 

23/05/2005 07:19 <REP> .

23/05/2005 07:19 <REP> ..

23/05/2005 07:19 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 14 664 089 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

 

23/05/2005 07:19 <REP> .

23/05/2005 07:19 <REP> ..

23/05/2005 07:19 <REP> Microsoft

13/06/2007 11:26 88 232 FontCache3.0.0.0.dat

1 fichier(s) 88 232 octets

3 Rép(s) 14 664 089 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\NetworkService\Application Data

 

23/05/2005 07:19 <REP> .

23/05/2005 07:19 <REP> ..

23/05/2005 07:19 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 14 664 089 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

 

23/05/2005 07:19 <REP> .

23/05/2005 07:19 <REP> ..

23/05/2005 07:19 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 14 664 085 504 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

 

23/05/2005 07:18 <REP> .

23/05/2005 07:18 <REP> ..

19/01/2007 06:48 <REP> Adobe

02/03/2007 23:18 <REP> Google

19/01/2007 06:48 <REP> Identities

23/05/2005 07:18 <REP> Microsoft

19/01/2007 06:48 <REP> Sonic

19/01/2007 06:48 <REP> Symantec

19/01/2007 06:48 <REP> toshiba

23/05/2005 07:18 62 desktop.ini

1 fichier(s) 62 octets

9 Rép(s) 14 664 085 504 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

 

23/05/2005 07:18 <REP> .

23/05/2005 07:18 <REP> ..

19/01/2007 06:48 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150010}

19/01/2007 06:48 <REP> Adobe

19/01/2007 06:48 <REP> ApplicationHistory

02/03/2007 23:18 <REP> Google

23/05/2005 07:18 <REP> Microsoft

19/01/2007 06:48 <REP> Toshiba

19/01/2007 06:48 135 fusioncache.dat

19/01/2007 06:48 4 817 774 IconCache.db

2 fichier(s) 4 817 909 octets

8 Rép(s) 14 664 085 504 octets libres

 

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

 

 

C:\WINDOWS\Tasks\97F0979983572F8D.job

tc˜ýLG´¥Òd?ÀtF Ô <

s "ˆ!× 5 c : \ d o c u m e ~ 1 \ a r n a u d \ a p p l i c ~ 1 \ g r a m p l ~ 1 \ b i n a r m y m e e t . e x e A r n a u d € 0 Î

 

 

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

q5TÃñëA¨”?àÄ@½F ê <

s €!× : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - T a s k S Y S T E M 0 ×

 

C:\WINDOWS\Tasks\Norton

Norton inexploitable

 

******************************************

## Répertoires de C:\Program Files

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est C42D-ED39

 

Répertoire de C:\Program Files

 

23/07/2007 14:33 <REP> .

23/07/2007 14:33 <REP> ..

24/05/2005 01:59 <REP> Adobe

01/07/2007 22:55 <REP> Alwil Software

29/06/2007 14:07 <REP> Apoint2K

16/03/2007 16:12 <REP> Apple Software Update

17/06/2007 13:04 <REP> Atari

23/05/2005 08:49 <REP> ATI Technologies

26/06/2007 08:56 <REP> Azureus

30/05/2007 10:36 <REP> Bethesda Softworks

18/06/2007 13:27 <REP> BitTorrent

10/05/2007 13:59 <REP> BitTorrent_DNA

22/07/2007 15:36 <REP> Blubster

05/07/2007 13:19 <REP> Canon

23/07/2007 14:34 <REP> CCleaner

23/05/2005 07:13 <REP> ComPlus Applications

26/06/2007 12:46 <REP> Cyanide

28/06/2007 11:38 <REP> Dealio

04/06/2007 15:27 <REP> EA GAMES

22/01/2007 13:19 <REP> Elaborate Bytes

22/07/2007 21:41 <REP> eMule

12/07/2007 13:14 <REP> Fichiers communs

28/06/2007 23:02 <REP> FTP Commander

02/06/2007 12:32 <REP> Google

23/06/2007 23:47 <REP> GrabIt

19/01/2007 06:47 <REP> Intel

25/03/2007 20:22 <REP> InterActual

23/07/2007 02:50 <REP> Internet Explorer

24/05/2005 01:49 <REP> InterVideo

23/05/2005 07:28 <REP> Java

04/06/2007 02:21 <REP> KONAMI

11/06/2007 18:48 <REP> Lavalys

05/02/2007 12:25 <REP> Lavasoft

29/05/2007 12:29 <REP> Logitech

29/06/2007 14:23 <REP> ltmoh

15/06/2007 00:15 <REP> MC2

05/02/2007 15:29 <REP> Messenger

22/01/2007 16:46 <REP> Microsoft ActiveSync

10/05/2007 00:22 <REP> Microsoft CAPICOM 2.1.0.2

23/05/2005 07:16 <REP> microsoft frontpage

12/06/2007 13:27 <REP> Microsoft Games

22/01/2007 16:46 <REP> Microsoft Office

22/01/2007 16:46 <REP> Microsoft Visual Studio

24/05/2005 02:53 <REP> Microsoft.NET

09/07/2007 17:51 <REP> mIRC

23/05/2005 07:14 <REP> Movie Maker

23/07/2007 19:14 <REP> Mozilla Firefox

13/06/2007 11:26 <REP> MSBuild

23/05/2005 07:13 <REP> MSN

23/05/2005 07:13 <REP> MSN Gaming Zone

29/06/2007 14:25 <REP> MSN Messenger

13/06/2007 01:27 <REP> MSXML 4.0

13/06/2007 11:30 <REP> MSXML 6.0

23/07/2007 13:55 <REP> Navilog1

23/05/2005 07:14 <REP> NetMeeting

23/06/2007 23:50 <REP> Nobilis

28/01/2007 16:16 <REP> Norton AntiVirus

23/05/2005 07:13 <REP> Online Services

29/01/2007 13:15 <REP> OO Software

13/06/2007 01:28 <REP> Outlook Express

25/03/2007 22:20 <REP> Picasa2

13/06/2007 11:21 <REP> Reference Assemblies

26/06/2007 15:36 <REP> SafeSoft

23/05/2005 07:14 <REP> Services en ligne

03/05/2007 15:48 <REP> Sierra

21/06/2007 01:31 <REP> Sierra On-Line

24/05/2005 01:55 <REP> Sonic

29/06/2007 14:28 <REP> Spybot - Search & Destroy

29/06/2007 14:28 <REP> Symantec

23/01/2007 16:21 <REP> THQ

24/05/2005 03:14 <REP> TOSHIBA

12/07/2007 12:45 <REP> UBISOFT

19/01/2007 13:18 <REP> VideoLAN

07/05/2007 16:17 <REP> Western Digital

23/06/2007 22:34 <REP> Western Digital Technologies

29/06/2007 14:29 <REP> Winamp

08/02/2007 17:01 <REP> Windows Live Toolbar

13/06/2007 11:17 <REP> Windows Media Player

23/05/2005 07:13 <REP> Windows NT

22/07/2007 15:17 <REP> WinRAR

29/06/2007 14:29 <REP> WinZip

23/05/2005 07:16 <REP> xerox

28/01/2007 15:07 <REP> Yahoo!

0 fichier(s) 0 octets

83 Rép(s) 14 664 052 736 octets libres

 

******************************************

## Popups autorisées

 

* Internet Explorer

 

! REG.EXE VERSION 3.0

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

016012007.badoo.com REG_BINARY

*.hotmail.msn.com REG_BINARY

015769528.badoo.com REG_BINARY

011416505.badoo.com REG_BINARY

www.pandasoftware.fr REG_BINARY

www.pandasoftware.com REG_BINARY

www.01net.com REG_BINARY

kooala.homelinux.net REG_BINARY

aelinangel.badoo.com REG_BINARY

012217983.badoo.com REG_BINARY

www.lhotellerie.fr REG_BINARY

72.30.186.56 REG_BINARY

019441472.badoo.com REG_BINARY

www.lephebus.com REG_BINARY

018740039.badoo.com REG_BINARY

*.badoo.com REG_BINARY

www.nouvelles-frontieres.fr REG_BINARY

www.aircaraibes.com REG_BINARY

www.pagedevideos.com REG_BINARY

www.voyeurfrance.net REG_BINARY

www.amateurs-videos.net REG_BINARY

www.windowslive.fr REG_BINARY

www.corsair.fr REG_BINARY

secretauto.free.fr REG_BINARY

www.alliancemotocycle.com REG_BINARY

www.airantilles.com REG_BINARY

transalpnet.free.fr REG_BINARY

fr.guitarplug.com REG_BINARY

www.skyblog.com REG_BINARY

stephdam49.skyblog.com REG_BINARY

guitare.playback.fr REG_BINARY

fr.bizrate.com REG_BINARY

www.abc-tabs.com REG_BINARY

www.patisserie.com REG_BINARY

www.chocolatiers.fr REG_BINARY

www.savy-goiseau.com REG_BINARY

www.pcb-creation.fr REG_BINARY

www.smonseur.com REG_BINARY

www.annoncesbateau.com REG_BINARY

www.radiotransat.com REG_BINARY

www.tripadvisor.com REG_BINARY

*.sedoparking.com REG_BINARY

www.airfrance.fr REG_BINARY

www.valrhona.com REG_BINARY

www.materiel.net REG_BINARY

www.wikio.fr REG_BINARY

www.allosponsor.com REG_BINARY

*.news.yahoo.com REG_BINARY

www.crack.ms REG_BINARY

192.168.0.1 REG_BINARY

74.6.146.244 REG_BINARY

acide-zeus.ifrance.com REG_BINARY

francebittorrent.free.fr REG_BINARY

*.asselin.free.fr REG_BINARY

www.divxtoplist.com REG_BINARY

www.divx-forever.com REG_BINARY

www.films-torrent.com REG_BINARY

www.divx-films.com REG_BINARY

www.easy-torrent.com REG_BINARY

www.torrent-armata.com REG_BINARY

www.meteo.gp REG_BINARY

billet-avion.opodo.fr REG_BINARY

www.coliposte.net REG_BINARY

www.jacquieetmichel.net REG_BINARY

www.epouse-offerte.net REG_BINARY

www.jacquiemichel.net REG_BINARY

www.videomateur.com REG_BINARY

www.younger19.com REG_BINARY

www.young-european-teens.com REG_BINARY

www.torrentz.com REG_BINARY

www.torrentspy.com REG_BINARY

www.binnews.info REG_BINARY

www.emunova.net REG_BINARY

www.maxitorrent.com REG_BINARY

www.funcenter.fr REG_BINARY

jpcordierweb.free.fr REG_BINARY

*.landcheyenne.com REG_BINARY

www.rue-hardware.com REG_BINARY

www.cdiscount.com REG_BINARY

www.telecharger-musique.biz REG_BINARY

www.fullreleases.com REG_BINARY

www.commentcamarche.net REG_BINARY

forum.zebulon.fr REG_BINARY

www.generation-nt.com REG_BINARY

pifoman.free.fr REG_BINARY

www.credit-agricole.fr REG_BINARY

www.sospc-en-ligne.com REG_BINARY

www.chauffeurdebuzz.com REG_BINARY

forum.smartorrent.com REG_BINARY

*.searchirc.com REG_BINARY

www.infectedornot.com REG_BINARY

m0002.gamecopyworld.com REG_BINARY

dl.gamecopyworld.com REG_BINARY

search.mediatarget.com REG_BINARY

www.binnewsgroup.com REG_BINARY

entreprise.01net.com REG_BINARY

www.tonerimprim.com REG_BINARY

www.cartouchefrance.com REG_BINARY

stripped.upblogger.com REG_BINARY

www.emule-speed.com REG_BINARY

www.opodo.fr REG_BINARY

membres.lycos.fr REG_BINARY

www.clubic.com REG_BINARY

hotstuff.upblogger.com REG_BINARY

www.sxmcyclone.com REG_BINARY

www.torrentportal.com REG_BINARY

*.ebookers.fr REG_BINARY

www.ortolanrestaurant.com REG_BINARY

encheres.nouvelles-frontieres.fr REG_BINARY

www.corsairfly.com REG_BINARY

www.secuser.com REG_BINARY

www.zebulon.fr REG_BINARY

www.sur-la-toile.com REG_BINARY

 

* Mozilla Firefox (1 autorisé 2 interdit)

 

---------- C:\DOCUMENTS AND SETTINGS\ARNAUD\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\5GHD0Z78.DEFAULT\HOSTPERM.1

 

******************************************

## Registre

 

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Dent Poke Rect Tool REG_SZ C:\Documents and Settings\All Users\Application Data\PingProxyDentPoke\Window Obj.exe

 

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

mapi third REG_SZ C:\DOCUME~1\Arnaud\APPLIC~1\GRAMPL~1\heart soap.exe

 

******************************************

## Zones de sécurité

 

* HKCU Domains (4)

 

* P3P History (5)

 

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

 

 

*************** Fin du rapport ****************

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Salut !

 

Il manque le reste des rapports :

AVG et Blacklight peut tu les faire stp ?

 

Ensuite fais ceci :

 

Commencer par télécharger le logiciel Lopremover puis dézipper le dossier.

http://clairvoyant.p2pforum.it/tools/lopremover.zip

 

*Redémarrer en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

*Désinstaller le logiciel MessengerPlus via "panneau de configuration/ajout-suppression de programmes"

 

*Fixer les lignes correspondant à l infection :

 

Lancer un scan HijackThis, cliquer sur "Do a system scan only" et cocher la ligne ci-dessous (si présentes) :

 

O2 - BHO: (no name) - {D74E3FD9-5495-9E8C-19E3-C856D3E0A146} - C:\DOCUME~1\Arnaud\APPLIC~1\AIMREF~1\AceObj.exe

O4 - HKLM\..\Run: [Dent Poke Rect Tool] C:\Documents and Settings\All Users\Application Data\PingProxyDentPoke\Window Obj.exe

O4 - HKCU\..\Run: [mapi third] C:\DOCUME~1\Arnaud\APPLIC~1\GRAMPL~1\heart soap.exe

 

 

 

Fermer toutes les fenêtres sauf HijackThis et "Fix Checked".

 

* il faut supprimer les dossiers incriminés :

C:\Program Files\MessengerPlus! 3<---supprimer tout le dossier si présent

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\DOCUME~1\Arnaud\APPLIC~1\AIMREF~1\

Le dossier va s'ouvrir

Reviens dessus et supprime le !

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\Documents and Settings\All Users\Application Data\PingProxyDentPoke\

Le dossier va s'ouvrir

Reviens dessus et supprime le !

 

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\DOCUME~1\Arnaud\APPLIC~1\GRAMPL~1\

Le dossier va s'ouvrir

Reviens dessus et supprime le !

 

 

*A présent, il faut éxécuter le logiciel Lopremover qui va vérifier et supprimer tous les "restes" de l infection!

 

Utilisation de Lopremover :

 

Une fois le logiciel lancé, inserez les chiffres dans la case, puis cliquez sur "UNINSTALL" et Redémarrez

 

NB : il se peut que votre antivirus s'exite, désactivez le le temps de la manipulation

 

Ensuite :

 

Copier ce qui apparait dans la boîte ci-dessous (touches CTRL+C)

Ouvrir Notepad, menu Edition -> coller (ou directement CTRL+V).

Puis menu Fichier -> sauvegarder sous... choisir Bureau.

Nom du fichier : remlop.bat et dans type , choisir "tous les fichiers".

 

@echo off

cd C:\WINDOWS\Tasks

attrib -r -s -h 97F0979983572F8D.job

del 97F0979983572F8D.job

exit

Double-cliquer sur remlop.bat (présent sur le Bureau)

Une fenêtre s'ouvrira et se fermera très rapidement, c'est normal.

 

Redémarrer votre systeme en mode normal!

 

Réinstaller Messenger Plus mais cette fois-ci prendre la précaution de ne pas cocher les sponsors lors de l installation

 

N'oublie pas de faire les rapports AVG Blacklight et remet un rapport hijackthis stp

 

A plus !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...