Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Les pubs me harcèlent !

victor21400

Par victor21400
dans Analyses et éradication malwares

 Partager

Messages recommandés

victor21400 Junior Member

victor21400

Posté(e)
Posté(e) (modifié)

Bonjour,

Je suis harcelé par les pubs a l'extinction de IE7, de nombreuses fenètres de pub apparaissent..la redoute, cdiscount etc etc

 

Spyboot et adaware ne détectent rien, l'activation anti fenètre de pub dans IE n'empêche rien.

 

Voici mon rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:17:40, on 24/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\INCRED~1\bin\ImApp.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\IZArc\IZArc.exe

C:\DOCUME~1\Estelle\LOCALS~1\Temp\ARC2\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [memo site kind that] C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site\More Global.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Nopub] C:\PROGRA~1\NoPub\Nopub.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/har...ion_2_0_4_6.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

--

End of file - 5787 bytes

 

 

Merci d'avance

Modifié par victor21400

josh_94 Member

josh_94

Posté(e)
Posté(e) (modifié)

Salut. :P

 

Hijackthis est mal placé, il est dans un fichier temporaire.

 

Télecharge HJTInstaller sur ton bureau.

Double clique sur HJTInstall.exe :

4619de67-09f4-43fa-bd06-8cc159ffb9f8_5d99a0f8-e0f3-4aa6-b784-f0e548eae994_static_0_0_image.png

La fenêtre d'installation, clique simplement sur Install :

7b80feb9-2453-49b9-9afe-19d5caf57a60_5d99a0f8-e0f3-4aa6-b784-f0e548eae994_static_0_0_image.png

Ensuite, rend toi à cet emplacement :

C:\Programm Files\Trend Micro\Hijackthis

Et renomme Hijackthis en Hjt.

Lance Hjt

Clique sur Do a system scan and save a logfile

Un document texte (le rapport) va maintenant s'ouvir

Poste l'integralité du raport sur le forum.

 

++

Modifié par josh_94
victor21400 Junior Member

victor21400

Posté(e)
  • Auteur
Posté(e)

Salut et merci de t'intérèsser à mon problème.

 

Ci-après le nouveau rapport Hjt généré en suivant tes conseils :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:17:03, on 25/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\INCRED~1\bin\ImApp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\Hjt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [beep 32] C:\DOCUME~1\Estelle\APPLIC~1\SITEEN~1\ballbarbblah.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/har...ion_2_0_4_6.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

--

End of file - 5784 bytes

 

 

@+

josh_94 Member

josh_94

Posté(e)
Posté(e)

Rebonjour. :P

 

Redémarre en mode sans échec. (tapote la touche F8 dés l'affichage du BIOS avant l'écran de chargement de windows)

Relance un scan hijackthis et fixe les lignes suivantes (fixer=cocher les petites cases à gauche et cliquer sur fix checked) :

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [beep 32] C:\DOCUME~1\Estelle\APPLIC~1\SITEEN~1\ballbarbblah.exe

 

Ensuite, redémarre en mode normal et suis les actions suivantes :

 

iconarrbr9.gif Télecharge lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.

Dézippe-le (clic droit -> "Extraire ici") et double clique sur le fichier lopxpMH.bat.

 

Dans ta prochaine réponse, poste le contenu du rapport qui va s'ouvrir.

 

iconarrbr9.gif Ensuite, redemarre en mode normal et telecharge navilog1

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

Tu fais un clique droit sur navilog.zip et tu choisi extraire.

(tu place tout les fichiers dans un dossier)

Tu lances navilog1 (il a normalement l'extention .bat

Patiente un peu.

Tape F puis appuie sur entrée lorsqu'on te demande de taper une lettre.

Patiente et réappuie sur une touche comme il t'est demandé.

Réappuie sur une touche. On t'annonce que tout a bien été decompressé.

Réappuie sur une touche.

Choisi l'option1 et valide en appuyant sur entrée.

Copie-colle le contenu du rapport final dans ta réponse.

 

++

victor21400 Junior Member

victor21400

Posté(e)
  • Auteur
Posté(e)

Rebonjour,

 

 

Voici les deux rapports que tu me demandes :

 

1.

Rapport lopxpMH2 version 2.0 fait à 12:22:31,87 le 25/02/2008

C:\Documents and Settings\Estelle\Bureau\lopxpMH2

 

******************************************

## Répertoires Application Data

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\All Users\Application Data

 

14/07/2007 20:14 <REP> .

14/07/2007 20:14 <REP> ..

03/02/2008 11:19 <REP> Grid Blue Memo Site

15/07/2007 08:56 <REP> Grisoft

15/07/2007 09:31 <REP> Messenger Plus!

14/07/2007 20:14 <REP> Microsoft

14/07/2007 22:17 <REP> Spybot - Search & Destroy

14/07/2007 20:15 62 desktop.ini

1 fichier(s) 62 octets

7 Rép(s) 76 581 748 736 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\Default User\Application Data

 

14/07/2007 20:14 <REP> .

14/07/2007 20:14 <REP> ..

14/07/2007 20:14 <REP> Microsoft

14/07/2007 20:15 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 76 581 752 832 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

 

14/07/2007 20:15 <REP> .

14/07/2007 20:15 <REP> ..

14/07/2007 18:27 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 76 581 752 832 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\Estelle\Application Data

 

14/07/2007 18:35 <REP> .

14/07/2007 18:35 <REP> ..

24/02/2008 17:48 <REP> Adobe

15/07/2007 09:48 <REP> Ahead

14/07/2007 18:35 <REP> Identities

15/07/2007 09:08 <REP> Lavasoft

14/07/2007 18:52 <REP> ma-config.com

15/07/2007 09:14 <REP> Macromedia

14/07/2007 18:35 <REP> Microsoft

24/02/2008 17:45 <REP> Mozilla

14/07/2007 22:12 <REP> MSNInstaller

03/02/2008 11:19 <REP> Siteenctons

29/12/2007 16:38 <REP> Sun

14/07/2007 18:35 62 desktop.ini

1 fichier(s) 62 octets

13 Rép(s) 76 581 752 832 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\Estelle\Local Settings\Application Data

 

14/07/2007 18:35 <REP> .

14/07/2007 18:35 <REP> ..

14/07/2007 19:10 <REP> Identities

15/07/2007 09:11 <REP> IM

14/07/2007 19:25 <REP> Logitech-LS

14/07/2007 18:35 <REP> Microsoft

24/02/2008 17:45 <REP> Mozilla

15/07/2007 09:54 8 192 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

14/07/2007 19:17 18 728 GDIPFONTCACHEV1.DAT

14/07/2007 18:44 3 184 656 IconCache.db

3 fichier(s) 3 211 576 octets

7 Rép(s) 76 581 752 832 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\LocalService\Application Data

 

14/07/2007 18:32 <REP> .

14/07/2007 18:32 <REP> ..

14/07/2007 18:32 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 76 581 752 832 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

 

14/07/2007 18:32 <REP> .

14/07/2007 18:32 <REP> ..

14/07/2007 18:32 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 76 581 748 736 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\NetworkService\Application Data

 

14/07/2007 18:31 <REP> .

14/07/2007 18:31 <REP> ..

14/07/2007 18:31 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 76 581 748 736 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

 

14/07/2007 18:31 <REP> .

14/07/2007 18:31 <REP> ..

14/07/2007 18:31 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 76 581 748 736 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

 

14/07/2007 18:30 <REP> .

14/07/2007 18:30 <REP> ..

14/07/2007 18:30 <REP> Microsoft

14/07/2007 18:30 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 76 581 748 736 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

 

14/07/2007 18:30 <REP> .

14/07/2007 18:30 <REP> ..

14/07/2007 18:30 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 76 581 748 736 octets libres

 

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

 

 

C:\WINDOWS\Tasks\A78EF8EE918572E2.job

Óœfj)dAž%¤ìªÐ+?F Ü <

s "€!Ø 8 c : \ d o c u m e ~ 1 \ e s t e l l e \ a p p l i c ~ 1 \ s i t e e n ~ 1 \ g r e a t s a f e f o r k . e x e E s t e l l e 0 Ë   <

******************************************

## Répertoires de C:\Program Files

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 74EF-A1B0

 

Répertoire de C:\Program Files

 

25/02/2008 10:14 <REP> .

25/02/2008 10:14 <REP> ..

15/07/2007 09:46 <REP> Ahead

14/07/2007 19:09 <REP> Alwil Software

14/07/2007 22:23 <REP> CCleaner

03/02/2008 11:18 <REP> Circle Developement

14/07/2007 22:05 <REP> C-Media 3D Audio

14/07/2007 18:24 <REP> ComPlus Applications

29/12/2007 16:33 <REP> Fichiers communs

14/07/2007 18:52 <REP> HardwareDetection

15/07/2007 09:12 <REP> IncrediMail

13/02/2008 15:09 <REP> Internet Explorer

15/07/2007 09:22 <REP> IZArc

29/12/2007 16:36 <REP> Java

14/07/2007 19:00 <REP> Labtec

24/02/2008 12:15 <REP> Lavasoft

14/07/2007 19:03 <REP> Logitech

14/07/2007 18:53 <REP> ma-config.com

02/08/2007 21:03 <REP> Messenger

03/02/2008 11:18 <REP> Messenger Plus! Live

14/07/2007 18:28 <REP> microsoft frontpage

15/07/2007 08:52 <REP> Microsoft Office

14/07/2007 18:24 <REP> Movie Maker

25/02/2008 12:19 <REP> Mozilla Firefox

15/07/2007 09:02 <REP> MSN

14/07/2007 18:23 <REP> MSN Gaming Zone

03/02/2008 11:18 <REP> MSN Messenger

24/02/2008 16:02 <REP> Navilog1

14/07/2007 18:25 <REP> NetMeeting

24/02/2008 15:02 <REP> NoPub

02/08/2007 21:01 <REP> Outlook Express

14/07/2007 18:25 <REP> Services en ligne

24/02/2008 14:26 <REP> Siteenctons

15/07/2007 09:53 <REP> SLD Codec Pack

24/02/2008 10:41 <REP> Spybot - Search & Destroy

24/02/2008 17:24 <REP> SpywareBlaster

25/02/2008 10:14 <REP> Trend Micro

15/07/2007 09:23 <REP> Windows Live

02/08/2007 21:02 <REP> Windows Media Player

14/07/2007 18:23 <REP> Windows NT

14/07/2007 18:28 <REP> xerox

0 fichier(s) 0 octets

41 Rép(s) 76 581 744 640 octets libres

 

******************************************

## Popups autorisées

 

* Internet Explorer

 

! REG.EXE VERSION 3.0

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

game3.pogo.com REG_BINARY

 

* Mozilla Firefox (1 autorisé 2 interdit)

 

---------- C:\DOCUMENTS AND SETTINGS\ESTELLE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\ZMJLPD9V.DEFAULT\HOSTPERM.1

host popup 1 game3.pogo.com

 

******************************************

## Registre

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Beep 32]

command REG_SZ C:\DOCUME~1\Estelle\APPLIC~1\SITEEN~1\ballbarbblah.exe

 

******************************************

## Zones de sécurité

 

* HKCU Domains (4)

 

* P3P History (5)

 

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

 

 

*************** Fin du rapport ****************

 

 

 

2.

Search Navipromo version 3.4.7 commencé le 25/02/2008 à 12:26:06,73

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 23.02.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Estelle\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Estelle\locals~1\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Estelle\MENUDM~1\PROGRA~1" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings\Estelle\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\Estelle\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 25/02/2008 à 12:30:03,29 ***

 

 

Bonne reception,

 

Merci et @+

josh_94 Member

josh_94

Posté(e)
Posté(e)

Télécharge ComboFix (créé par sUBs) sur ton Bureau

 

Copie ce qui est en citation ci-dessous (sans le mot code) par sélection puis Ctrl-C :

 

Registry:: 

File::
C:\WINDOWS\Tasks\A78EF8EE918572E2.job 

Folder:: 
C:\docume~1\estelle\applic~1\siteen~1\

  • Enregistre ce fichier dans: Bureau
  • Nom du fichier : CFScript
  • Type du fichier : tous les fichiers
  • Clique sur Enregistrer
  • Quitte le Bloc Notes
  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    comboscript.gif
     
  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

Ensuite, ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

 

REGEDIT4 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow] 
" game3.pogo.com"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Beep 32]

Puis "fichier"/"enregistrer sous" :

dans : sur le bureau

  • Nom du fichier : fix.reg
  • Type de fichier : "tous les fichiers"
  • Clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela: jeanchretien1-2.gif

Quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "Oui" .

 

++

victor21400 Junior Member

victor21400

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

J'ai suivi toutes tes directives et voici ce que je pense être le rapport de Combofix :

 

ComboFix 08-02-25.3 - Estelle 2008-02-25 16:30:52.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.26 [GMT 1:00]

Endroit: C:\Documents and Settings\Estelle\Bureau\ComboFix(2).exe

Command switches used :: C:\Documents and Settings\Estelle\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\Tasks\A78EF8EE918572E2.job

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\docume~1\estelle\applic~1\siteen~1\

C:\docume~1\estelle\applic~1\siteen~1\

C:\docume~1\estelle\applic~1\siteen~1\\ballbarbblah.exe

C:\docume~1\estelle\applic~1\siteen~1\\greatsafefork.exe

C:\docume~1\estelle\applic~1\siteen~1\\Internet Dvd List Close.exe

C:\docume~1\estelle\applic~1\siteen~1\\otbnfkaf.exe

C:\docume~1\estelle\applic~1\siteen~1\\pboiqaoq.exe

C:\WINDOWS\Tasks\A78EF8EE918572E2.job

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-25 to 2008-02-25 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-25 10:14 . 2008-02-25 10:14 <REP> d-------- C:\Program Files\Trend Micro

2008-02-24 17:45 . 2008-02-25 16:18 <REP> d-------- C:\Program Files\Mozilla Firefox

2008-02-24 17:45 . 2008-02-24 17:45 0 --a------ C:\WINDOWS\nsreg.dat

2008-02-24 17:22 . 2008-02-24 17:24 <REP> d-------- C:\Program Files\SpywareBlaster

2008-02-24 17:22 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-02-24 15:56 . 2008-02-25 12:58 <REP> d-------- C:\Program Files\Navilog1

2008-02-24 14:26 . 2008-02-24 14:26 <REP> d-------- C:\Program Files\Siteenctons

2008-02-24 12:15 . 2008-02-24 12:15 <REP> d-------- C:\Program Files\Lavasoft

2008-02-24 10:37 . 2008-02-24 10:36 691,545 --a------ C:\WINDOWS\unins000.exe

2008-02-24 10:37 . 2008-02-24 10:37 2,557 --a------ C:\WINDOWS\unins000.dat

2008-02-13 15:01 . 2008-02-13 15:01 1,374 --a------ C:\WINDOWS\imsins.BAK

2008-02-03 17:04 . 2008-02-24 15:02 <REP> d-------- C:\Program Files\NoPub

2008-02-03 11:19 . 2008-02-24 14:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grid Blue Memo Site

2008-02-03 11:18 . 2008-02-03 11:18 <REP> d-------- C:\Program Files\Circle Developement

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-25 11:17 390,070,272 --sha-w C:\pagefile.sys

2008-02-24 11:16 --------- d-----w C:\Documents and Settings\Estelle\Application Data\Lavasoft

2008-02-24 09:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-02-24 09:41 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-02-13 14:09 --------- d-----w C:\Program Files\Internet Explorer

2008-02-04 23:09 18,214,008 ----a-w C:\WINDOWS\system32\MRT.exe

2008-02-03 10:18 --------- d-----w C:\Program Files\MSN Messenger

2008-02-03 10:18 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-01-11 05:36 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll

2007-12-29 15:36 --------- d-----w C:\Program Files\Java

2007-12-29 15:33 --------- d-----w C:\Program Files\Fichiers communs\Java

2007-12-29 15:33 --------- d-----w C:\Program Files\Fichiers communs

2007-12-19 22:53 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll

2007-12-08 05:08 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll

2007-12-06 11:02 70,656 ------w C:\WINDOWS\system32\ie4uinit.exe

2007-12-06 11:00 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe

2007-12-06 04:59 161,792 ------w C:\WINDOWS\system32\ieakui.dll

2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44 196608]

"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-01 11:04 208946]

"Beep 32"="C:\DOCUME~1\Estelle\APPLIC~1\SITEEN~1\ballbarbblah.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32 221184]

"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24 458752]

"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14 217088]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2007-07-14 21:50 94208]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2007-07-14 21:50 77824]

"Cmaudio"="cmicnfg.cpl" []

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Beep 32]

C:\DOCUME~1\Estelle\APPLIC~1\SITEEN~1\ballbarbblah.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]

--a------ 2007-07-14 21:50 114688 C:\WINDOWS\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

-rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-25 16:33:08

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

J'ai également modifié mon registre comme tu me l'a expliqué avec la clef contenue dans ton message...

 

Tout se passe bien...

 

Dois en déduire que la source de mes problème est : "POGO.FR"

J'utilise ces jeux chez moi sans problème (avec mozilla Firefox) Ici je suis sur le Pc de ma fille qui joue en ligne sur pogo avec IE7...

 

Je te tiens au courant si les pubs apparaissent ou pas

 

Bonne soirée et merci encore

 

@ ++

josh_94 Member

josh_94

Posté(e)
Posté(e)

Oui, ce site est sûrement la cause de tes soucis...

 

++ :P

angelique Devil Member !

angelique

Posté(e)
Posté(e)

tu ne traites pas le reste?? Oo

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Beep 32"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Beep 32]

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

CFScript.gif

 

 

* Une fenêtre bleue va apparaitre

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

josh_94 Member

josh_94

Posté(e)
Posté(e)

Oui, je me suis cracké et j'ai oublié une clé. :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...