Rapport hijack

Stefanao · le 10 février 2008

Bonjour,

J'ai des fenêtres publicitaires qui s'ouvrent régulièrement malgré avast & le blocage des pop-up. Le pare-feu windows se désactive automatiquement à chaque démarrage. Comment modifier cela ?

Merci

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:38:36, on 10/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\system32\agrsmsvc.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\Atheros\ACU.exe

C:\Program Files\ATK Hotkey\Hcontrol.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\ATK Hotkey\ATKOSD.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\SopCast\SopCast.exe

G:\Program Files\Azureus\Azureus.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lequipe.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winlogon.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Program Files\ATK Hotkey\Hcontrol.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [1 mags 16 more] C:\Documents and Settings\All Users\Application Data\Admin Inter 1 Mags\defy bib.exe

O4 - HKLM\..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [Grey Math] C:\DOCUME~1\COLLAB~1\APPLIC~1\INTRAF~1\SecondCake.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = groupexperts.com

O17 - HKLM\Software\..\Telephony: DomainName = groupexperts.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{165387AC-7D68-4824-A522-E31E350F12A6}: NameServer = 10.10.1.100

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = groupexperts.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = groupexperts.com

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--

End of file - 9175 bytes

Lien Rag · le 10 février 2008

Bonsoir et bienvenu

télécharge lopxpMH2 :

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Enregistrer la cible ci dessus(du lien) sous... et enregistre-le sur ton bureau.

Dézippe-le (clic droit >> Extraire ici) et double clique sur lopxpMH.bat

poste le contenu du rapport qui va s'ouvrir

Stefanao · le 10 février 2008

Rebonsoir,

Voilà mon rapport :

Rapport lopxpMH2 version 2.0 fait à 20:25:37.64 le 10/02/2008

C:\Documents and Settings\collaborateur\Bureau\lopxpMH2

******************************************

## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\All Users\Application Data

15/12/2007 22:46 <REP> .

15/12/2007 22:46 <REP> ..

07/01/2008 00:29 <REP> Admin Inter 1 Mags

19/12/2007 12:02 <REP> Adobe

19/12/2007 18:14 <REP> Apple

19/12/2007 18:14 <REP> Apple Computer

17/12/2007 10:25 <REP> Atheros

24/12/2007 00:23 <REP> Azureus

14/01/2008 23:03 <REP> Lavasoft

15/12/2007 22:46 <REP> Microsoft

17/12/2007 15:51 <REP> Microsoft Help

14/01/2008 23:05 <REP> Spybot - Search & Destroy

18/01/2008 00:08 <REP> TEMP

10/01/2008 12:57 <REP> Windows Genuine Advantage

01/01/2008 22:34 <REP> WLInstaller

15/12/2007 22:46 62 desktop.ini

08/01/2008 22:51 1 755 QTSBandwidthCache

2 fichier(s) 1 817 octets

15 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\collaborateur\Application Data

15/12/2007 22:05 <REP> .

15/12/2007 22:05 <REP> ..

19/12/2007 12:43 <REP> Adobe

19/12/2007 18:16 <REP> Apple Computer

24/12/2007 00:23 <REP> Azureus

04/01/2008 22:33 <REP> DivX

15/12/2007 22:05 <REP> Identities

17/12/2007 09:04 <REP> InstallShield

10/01/2008 15:16 <REP> InterTrust

07/01/2008 00:29 <REP> intra funk

21/12/2007 14:41 <REP> ma-config.com

19/12/2007 12:43 <REP> Macromedia

21/12/2007 23:37 <REP> Media Player Classic

15/12/2007 22:05 <REP> Microsoft

07/01/2008 16:25 <REP> Microsoft Web Folders

17/12/2007 19:01 <REP> Mozilla

18/01/2008 00:07 <REP> PC Tools

25/01/2008 15:02 <REP> PDFCreator

10/02/2008 19:21 <REP> SopCast

17/12/2007 19:09 <REP> Sun

19/12/2007 10:26 <REP> Thunderbird

21/12/2007 22:59 <REP> Toshiba

21/12/2007 14:45 <REP> WinRAR

15/12/2007 22:05 62 desktop.ini

1 fichier(s) 62 octets

23 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\collaborateur\Local Settings\Application Data

15/12/2007 22:05 <REP> .

15/12/2007 22:05 <REP> ..

19/12/2007 12:02 <REP> Adobe

19/12/2007 18:14 <REP> Apple

19/12/2007 18:13 <REP> Apple Computer

05/02/2008 10:55 <REP> Help

15/12/2007 22:05 <REP> Microsoft

17/12/2007 15:51 <REP> Microsoft Help

17/12/2007 19:01 <REP> Mozilla

19/12/2007 10:26 <REP> Thunderbird

21/12/2007 23:35 13 824 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

19/12/2007 10:22 70 576 GDIPFONTCACHEV1.DAT

15/12/2007 22:06 4 814 482 IconCache.db

3 fichier(s) 4 898 882 octets

10 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\Default User\Application Data

15/12/2007 22:46 <REP> .

15/12/2007 22:46 <REP> ..

15/12/2007 22:46 <REP> Microsoft

15/12/2007 22:46 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

15/12/2007 22:46 <REP> .

15/12/2007 22:46 <REP> ..

15/12/2007 21:57 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\LocalService\Application Data

15/12/2007 22:03 <REP> .

15/12/2007 22:03 <REP> ..

15/12/2007 22:03 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

15/12/2007 22:03 <REP> .

15/12/2007 22:03 <REP> ..

15/12/2007 22:03 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\NetworkService\Application Data

15/12/2007 22:01 <REP> .

15/12/2007 22:01 <REP> ..

15/12/2007 22:01 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

15/12/2007 22:01 <REP> .

15/12/2007 22:01 <REP> ..

28/01/2008 16:00 <REP> Apple

15/12/2007 22:01 <REP> Microsoft

0 fichier(s) 0 octets

4 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

15/12/2007 22:00 <REP> .

15/12/2007 22:00 <REP> ..

15/12/2007 22:00 <REP> Microsoft

15/12/2007 22:00 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

15/12/2007 22:00 <REP> .

15/12/2007 22:00 <REP> ..

15/12/2007 22:00 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\A3D6E4A391859B2B.job

Þ—¢Ê{PýK¾?ã—ñ¡ÅÇF ì <

. 8 c : \ d o c u m e ~ 1 \ c o l l a b ~ 1 \ a p p l i c ~ 1 \ i n t r a f ~ 1 \ M E A L W I P E U P . e x e c o l l a b o r a t e u r 2 3 0 Í <

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

s €!Ø / : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 ×

******************************************

## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Program Files

10/02/2008 20:20 <REP> .

10/02/2008 20:20 <REP> ..

23/01/2008 19:04 <REP> Adobe

17/12/2007 16:01 <REP> Alwil Software

19/12/2007 18:14 <REP> Apple Software Update

29/01/2008 14:04 <REP> a-squared Anti-Malware

23/12/2007 17:26 <REP> Atheros

17/12/2007 10:27 <REP> ATK Hotkey

19/12/2007 10:46 <REP> CCMX

18/01/2008 00:53 <REP> CCMX Gestion des ressources

15/01/2008 15:26 <REP> Common Files

15/12/2007 21:54 <REP> ComPlus Applications

08/01/2008 22:58 <REP> DivX

19/12/2007 15:42 <REP> EIC

01/02/2008 21:16 <REP> Fichiers communs

17/12/2007 08:50 <REP> Intel

19/12/2007 18:15 <REP> Internet Explorer

16/01/2008 20:10 <REP> intra funk

08/02/2008 11:10 <REP> iPod

08/02/2008 11:10 <REP> iTunes

17/12/2007 19:08 <REP> Java

17/12/2007 16:02 <REP> Kerio

14/01/2008 23:03 <REP> Lavasoft

10/02/2008 20:23 <REP> Lopxp

17/12/2007 10:29 <REP> ltmoh

21/12/2007 14:41 <REP> ma-config.com

03/02/2008 21:17 <REP> Media Player Classic

19/12/2007 13:20 <REP> Messenger

07/01/2008 16:25 <REP> microsoft frontpage

07/01/2008 16:25 <REP> Microsoft Office

19/12/2007 10:58 <REP> Microsoft SQL Server

17/12/2007 15:55 <REP> Microsoft Visual Studio

17/12/2007 15:55 <REP> Microsoft Works

15/12/2007 21:55 <REP> Movie Maker

10/02/2008 17:06 <REP> Mozilla Firefox

04/01/2008 22:20 <REP> Mozilla Thunderbird

17/12/2007 15:55 <REP> MSBuild

15/12/2007 21:53 <REP> MSN

15/12/2007 21:54 <REP> MSN Gaming Zone

17/01/2008 00:26 <REP> MSXML 4.0

15/12/2007 21:55 <REP> NetMeeting

15/12/2007 21:54 <REP> Online Services

19/12/2007 13:17 <REP> Outlook Express

25/01/2008 15:03 <REP> PDF Password Remover v3.0

19/12/2007 11:59 <REP> PDFCreator

08/02/2008 11:08 <REP> QuickTime

07/01/2008 18:31 <REP> Realtek

17/12/2007 11:03 <REP> REALTEK RTL8187B Wireless LAN Driver

15/12/2007 21:56 <REP> Services en ligne

23/12/2007 17:23 <REP> SopCast

09/02/2008 12:49 <REP> Spybot - Search & Destroy

07/02/2008 23:24 <REP> Spyware Doctor

17/12/2007 10:33 <REP> Synaptics

17/12/2007 10:28 <REP> TOSHIBA

10/02/2008 17:58 <REP> Trend Micro

01/01/2008 22:37 <REP> Windows Live

23/01/2008 23:16 <REP> Windows Media Connect 2

23/01/2008 23:16 <REP> Windows Media Player

15/12/2007 21:54 <REP> Windows NT

21/12/2007 14:45 <REP> WinRAR

15/12/2007 21:58 <REP> xerox

0 fichier(s) 0 octets

61 Rép(s) 64 318 590 976 octets libres

******************************************

## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\COLLABORATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\KHS3I0BH.DEFAULT\HOSTPERM.1

host popup 1 www.ratp.info

host popup 1 www.cncc.fr

host popup 1 servpanda

******************************************

## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]

Search Bar REG_SZ http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

1 mags 16 more REG_SZ C:\Documents and Settings\All Users\Application Data\Admin Inter 1 Mags\defy bib.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Grey Math REG_SZ C:\DOCUME~1\COLLAB~1\APPLIC~1\INTRAF~1\SecondCake.exe

******************************************

## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Rebonsoir,

Voilà mon rapport :

Rapport lopxpMH2 version 2.0 fait à 20:25:37.64 le 10/02/2008

C:\Documents and Settings\collaborateur\Bureau\lopxpMH2

******************************************

## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\All Users\Application Data

15/12/2007 22:46 <REP> .

15/12/2007 22:46 <REP> ..

07/01/2008 00:29 <REP> Admin Inter 1 Mags

19/12/2007 12:02 <REP> Adobe

19/12/2007 18:14 <REP> Apple

19/12/2007 18:14 <REP> Apple Computer

17/12/2007 10:25 <REP> Atheros

24/12/2007 00:23 <REP> Azureus

14/01/2008 23:03 <REP> Lavasoft

15/12/2007 22:46 <REP> Microsoft

17/12/2007 15:51 <REP> Microsoft Help

14/01/2008 23:05 <REP> Spybot - Search & Destroy

18/01/2008 00:08 <REP> TEMP

10/01/2008 12:57 <REP> Windows Genuine Advantage

01/01/2008 22:34 <REP> WLInstaller

15/12/2007 22:46 62 desktop.ini

08/01/2008 22:51 1 755 QTSBandwidthCache

2 fichier(s) 1 817 octets

15 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\collaborateur\Application Data

15/12/2007 22:05 <REP> .

15/12/2007 22:05 <REP> ..

19/12/2007 12:43 <REP> Adobe

19/12/2007 18:16 <REP> Apple Computer

24/12/2007 00:23 <REP> Azureus

04/01/2008 22:33 <REP> DivX

15/12/2007 22:05 <REP> Identities

17/12/2007 09:04 <REP> InstallShield

10/01/2008 15:16 <REP> InterTrust

07/01/2008 00:29 <REP> intra funk

21/12/2007 14:41 <REP> ma-config.com

19/12/2007 12:43 <REP> Macromedia

21/12/2007 23:37 <REP> Media Player Classic

15/12/2007 22:05 <REP> Microsoft

07/01/2008 16:25 <REP> Microsoft Web Folders

17/12/2007 19:01 <REP> Mozilla

18/01/2008 00:07 <REP> PC Tools

25/01/2008 15:02 <REP> PDFCreator

10/02/2008 19:21 <REP> SopCast

17/12/2007 19:09 <REP> Sun

19/12/2007 10:26 <REP> Thunderbird

21/12/2007 22:59 <REP> Toshiba

21/12/2007 14:45 <REP> WinRAR

15/12/2007 22:05 62 desktop.ini

1 fichier(s) 62 octets

23 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\collaborateur\Local Settings\Application Data

15/12/2007 22:05 <REP> .

15/12/2007 22:05 <REP> ..

19/12/2007 12:02 <REP> Adobe

19/12/2007 18:14 <REP> Apple

19/12/2007 18:13 <REP> Apple Computer

05/02/2008 10:55 <REP> Help

15/12/2007 22:05 <REP> Microsoft

17/12/2007 15:51 <REP> Microsoft Help

17/12/2007 19:01 <REP> Mozilla

19/12/2007 10:26 <REP> Thunderbird

21/12/2007 23:35 13 824 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

19/12/2007 10:22 70 576 GDIPFONTCACHEV1.DAT

15/12/2007 22:06 4 814 482 IconCache.db

3 fichier(s) 4 898 882 octets

10 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\Default User\Application Data

15/12/2007 22:46 <REP> .

15/12/2007 22:46 <REP> ..

15/12/2007 22:46 <REP> Microsoft

15/12/2007 22:46 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 64 318 599 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

15/12/2007 22:46 <REP> .

15/12/2007 22:46 <REP> ..

15/12/2007 21:57 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\LocalService\Application Data

15/12/2007 22:03 <REP> .

15/12/2007 22:03 <REP> ..

15/12/2007 22:03 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

15/12/2007 22:03 <REP> .

15/12/2007 22:03 <REP> ..

15/12/2007 22:03 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\NetworkService\Application Data

15/12/2007 22:01 <REP> .

15/12/2007 22:01 <REP> ..

15/12/2007 22:01 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

15/12/2007 22:01 <REP> .

15/12/2007 22:01 <REP> ..

28/01/2008 16:00 <REP> Apple

15/12/2007 22:01 <REP> Microsoft

0 fichier(s) 0 octets

4 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

15/12/2007 22:00 <REP> .

15/12/2007 22:00 <REP> ..

15/12/2007 22:00 <REP> Microsoft

15/12/2007 22:00 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 64 318 595 072 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

15/12/2007 22:00 <REP> .

15/12/2007 22:00 <REP> ..

15/12/2007 22:00 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 64 318 595 072 octets libres

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\A3D6E4A391859B2B.job

Þ—¢Ê{PýK¾?ã—ñ¡ÅÇF ì <

. 8 c : \ d o c u m e ~ 1 \ c o l l a b ~ 1 \ a p p l i c ~ 1 \ i n t r a f ~ 1 \ M E A L W I P E U P . e x e c o l l a b o r a t e u r 2 3 0 Í <

C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

s €!Ø / : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - t a s k S Y S T E M 0 ×

******************************************

## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est FC17-7594

Répertoire de C:\Program Files

10/02/2008 20:20 <REP> .

10/02/2008 20:20 <REP> ..

23/01/2008 19:04 <REP> Adobe

17/12/2007 16:01 <REP> Alwil Software

19/12/2007 18:14 <REP> Apple Software Update

29/01/2008 14:04 <REP> a-squared Anti-Malware

23/12/2007 17:26 <REP> Atheros

17/12/2007 10:27 <REP> ATK Hotkey

19/12/2007 10:46 <REP> CCMX

18/01/2008 00:53 <REP> CCMX Gestion des ressources

15/01/2008 15:26 <REP> Common Files

15/12/2007 21:54 <REP> ComPlus Applications

08/01/2008 22:58 <REP> DivX

19/12/2007 15:42 <REP> EIC

01/02/2008 21:16 <REP> Fichiers communs

17/12/2007 08:50 <REP> Intel

19/12/2007 18:15 <REP> Internet Explorer

16/01/2008 20:10 <REP> intra funk

08/02/2008 11:10 <REP> iPod

08/02/2008 11:10 <REP> iTunes

17/12/2007 19:08 <REP> Java

17/12/2007 16:02 <REP> Kerio

14/01/2008 23:03 <REP> Lavasoft

10/02/2008 20:23 <REP> Lopxp

17/12/2007 10:29 <REP> ltmoh

21/12/2007 14:41 <REP> ma-config.com

03/02/2008 21:17 <REP> Media Player Classic

19/12/2007 13:20 <REP> Messenger

07/01/2008 16:25 <REP> microsoft frontpage

07/01/2008 16:25 <REP> Microsoft Office

19/12/2007 10:58 <REP> Microsoft SQL Server

17/12/2007 15:55 <REP> Microsoft Visual Studio

17/12/2007 15:55 <REP> Microsoft Works

15/12/2007 21:55 <REP> Movie Maker

10/02/2008 17:06 <REP> Mozilla Firefox

04/01/2008 22:20 <REP> Mozilla Thunderbird

17/12/2007 15:55 <REP> MSBuild

15/12/2007 21:53 <REP> MSN

15/12/2007 21:54 <REP> MSN Gaming Zone

17/01/2008 00:26 <REP> MSXML 4.0

15/12/2007 21:55 <REP> NetMeeting

15/12/2007 21:54 <REP> Online Services

19/12/2007 13:17 <REP> Outlook Express

25/01/2008 15:03 <REP> PDF Password Remover v3.0

19/12/2007 11:59 <REP> PDFCreator

08/02/2008 11:08 <REP> QuickTime

07/01/2008 18:31 <REP> Realtek

17/12/2007 11:03 <REP> REALTEK RTL8187B Wireless LAN Driver

15/12/2007 21:56 <REP> Services en ligne

23/12/2007 17:23 <REP> SopCast

09/02/2008 12:49 <REP> Spybot - Search & Destroy

07/02/2008 23:24 <REP> Spyware Doctor

17/12/2007 10:33 <REP> Synaptics

17/12/2007 10:28 <REP> TOSHIBA

10/02/2008 17:58 <REP> Trend Micro

01/01/2008 22:37 <REP> Windows Live

23/01/2008 23:16 <REP> Windows Media Connect 2

23/01/2008 23:16 <REP> Windows Media Player

15/12/2007 21:54 <REP> Windows NT

21/12/2007 14:45 <REP> WinRAR

15/12/2007 21:58 <REP> xerox

0 fichier(s) 0 octets

61 Rép(s) 64 318 590 976 octets libres

******************************************

## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\COLLABORATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\KHS3I0BH.DEFAULT\HOSTPERM.1

host popup 1 www.ratp.info

host popup 1 www.cncc.fr

host popup 1 servpanda

******************************************

## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]

Search Bar REG_SZ http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

1 mags 16 more REG_SZ C:\Documents and Settings\All Users\Application Data\Admin Inter 1 Mags\defy bib.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Grey Math REG_SZ C:\DOCUME~1\COLLAB~1\APPLIC~1\INTRAF~1\SecondCake.exe

******************************************

## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Lien Rag · le 10 février 2008

1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"1 mags 16 more "=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Grey Math"=-

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : fix.reg

-Type : tous les fichiers !!!

-cliquer sur Enregistrer

-quitter le Bloc Notes

Utilisation du fichier: fix.reg

- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

2/ Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

# Double-clique sur OTMoveIt.exe pour le lancer.

# Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

# Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

c :\docume~1\collab~1\applic~1\intraf~1\

C:\Documents and Settings\All Users\Application Data\Admin Inter 1 Mags\

C:\WINDOWS\Tasks\A3D6E4A391859B2B.job

# Clique sur MoveIt! pour lancer la suppression.

# Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

# Redémarre ton PC

# Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

Modifié le 10 février 2008 par Lien Rag

Stefanao · le 11 février 2008

Mon rapport OTMoveIt

Folder move failed. C:\Documents and Settings\All Users\Application Data\Admin Inter 1 Mags scheduled to be moved on reboot.

C:\Program Files\intra funk moved successfully.

C:\Documents and Settings\collaborateur\Application Data\intra funk moved successfully.

C:\WINDOWS\tasks\A3D6E4A391859B2B.job moved successfully.

OTMoveIt2 v1.0.19 log created on 02102008_235503

Lien Rag · le 11 février 2008

Telecharge AVGanti-spy

Avant tout: Mise à jour ( via l'onglet & connexion internet): si la maj ne fonctionne pas fais le scan qd meme

puis lance un scan complet

supprime ce que AVGas aura trouvé puis génère un rapport

Post le rapport

Connexion

Pas encore inscrit ?

Rapport hijack

Messages recommandés

Stefanao

Lien Rag

Stefanao

Lien Rag

Stefanao

Lien Rag

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer