Analyse Rapport HijacThis

[fredorp59]

Bonjour, voici aussi le rapport HijackThis lancé en mode sans échec :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:14:16, on 09/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Administrateur\Bureau\HiJackThis\freddy.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [s3Trayp] S3trayp.exe

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ulutil2.dll,SetWriteBack

O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec Star Downloader - E:\Program Files\Star Downloader\sdie.htm

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1190657965562

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1214512375078

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SlimFTPd - Unknown owner - G:\slimftpd\SlimFTPd.exe (file missing)

O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Service.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe

 

--

End of file - 9400 bytes

 

Voilà et j'ai trouvé ceci avec l'analyse avec ZHP Diag : (désolé si j'ai fait un peu le travail moi-même mais j'avais ZHP Help Process)

 

---\\ ZHPSearch, Outil de recherche d'infection de Base de Registres (O71)

 

Platform : Microsoft Windows XP (5.1.2600) Service Pack 3

Légitime

 

 

O71 - BDRI:[hklm\software\microsoft\internet explorer\extension compatibility\{43d9e6f0-1776-4897-ae14-ecedecbafec0}]

Malware

 

 

O71 - BDRI:[hklm\software\microsoft\internet explorer\extension compatibility\{5a074b29-f830-49de-a31b-5bb9d7f6b407}]

Malware

 

 

O71 - BDRI:[hklm\software\microsoft\internet explorer\extension compatibility\{5a074b21-f830-49de-a31b-5bb9d7f6b407}]

Malware

 

 

O71 - BDRI:[hklm\software\microsoft\internet explorer\toolbar]:{a057a204-bacc-4d26-8287-79a187e26987}

Malware

 

 

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\explorer\browser helper objects\{a057a204-bacc-4d26-8287-79a187e26987}]

Malware

 

 

O71 - BDRI:[hklm\software\microsoft\windows\currentversion\run]:alcmtr

Malware

 

 

O71 - BDRI:[hklm\software\sec]

Malware

 

O71 - BDRI:[hkcu\software\microsoft\windows\currentversion\run]:ctfmon.exe - C:\WINDOWS\system32\ctfmon.exe

Generic

Microsoft®NT CTF Loader

 

Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "CTF Loader". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".

 

Installation :

C:\WINDOWS\system32\ctfmon.exe

 

Report :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

Registry :

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON.EXE

 

Voilà, j'espère qu'on va m'aider à les éradiqué sauf si c'est pas trop grave. a+.

 

Voilà, désolé pour ce double post, merci de supprimer le sujet Rapport HijacThis, alerte virus

 

 

Citation de pear ( groupe équipe de sécurité)

Bonjour,

 

Lancez , dans l'ordre ,svp

 

 

Téléchargez Toolbar-S&D sur le Bureau.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

 

Lancez l'installation du programme en exécutant le fichier téléchargé.

Redémarrez en mode sans échec

Double-cliquez sur le raccourci de Toolbar-S&D.

Sélectionnez la langue souhaitée en tapant la lettre de votre choix puis en validant avec la touche Entrée.

Choisisssez l'option 1 (Recherche).

Patientez jusqu'à la fin de la recherche.

Postez le rapport généré. (C:\TB.txt)

Relancez Toolbar-S&D en double-cliquant sur le raccourci. Tapez sur "2" et validez par"Entrée".

Ne fermez pas la fenêtre lors de la suppression !

Un rapport sera généré,

postez son contenu ici.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Allez à l'onglet "Processus". Cliquez en haut à gauche sur Fichier ->"Exécuter..."

Tapez explorer et validez.

 

 

 

process.exe, dans Smitfraudfix, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

# Vous devez donc désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

[ b]Si vous êtes Sous Vista:[/b]

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Sous Xp, vous faites la suite.

 

Télécharger SmitfraudFix sur le Bureau

Miroirs: si vous avez un problème pour télécharger, utilisez ces sites miroirs officiels qui hébergent aussi la dernière version:

http://siri.geekstogo.com/SmitfraudFix.exe

http://downloads.securitycadets.com/SmitfraudFix.exe

 

option 1 - Recherche :

Double cliquer sur smitfraudfix.exe

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ).

Double cliquer sur smitfraudfix.exe

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

Poster le rapport(c:\rapport.txt)

 

 

 

 

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

 

 

Vous allez télécharger Combofix.

 

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[fredorp59]

Donc j'ai fait ce que pear m'a dit et voici le premier rapport avec le chiffre 1 de Toolbar S&D:

 

Voilà, bon voici le rapport généré avec Toolbar-S&D en choisissant l'option 1 (recherche) :

 

 

-----------\\ ToolBar S&D 1.2.8 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Sempron 2400+ )

BIOS : Version 1.00

USER : Administrateur ( Administrator )

BOOT : Fail-safe boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

C:\ (Local Disk) - NTFS - Total:38 Go (Free:15 Go)

D:\ (CD or DVD)

E:\ (Local Disk) - NTFS - Total:114 Go (Free:102 Go)

F:\ (Local Disk) - NTFS - Total:14 Go (Free:10 Go)

G:\ (Local Disk) - NTFS - Total:16 Go (Free:16 Go)

H:\ (Local Disk) - NTFS - Total:18 Go (Free:18 Go)

N:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( 09/05/2009|21:04 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\a.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\amazon.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\an.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrow.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrowB.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrowT.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrow_down.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\arrow_up.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\autofill.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\b.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bg_pub.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bg_ttl.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bottom.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bottom_left.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\bottom_right.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\c.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\CAlogo.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\canalblog.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\cn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\COMBOSEARCH.acs

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\d.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\dictionary2.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\dn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\DownloadCOM.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\dropdown.css

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\email_b.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\equalizer_loading.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\equalizer_off.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\equalizer_on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ErrorLog.txt

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ErrorPageTemplate.css

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ErrorPageTemplate_search.css

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\f.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\fn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\g.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\gaming.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\gn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred0.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred0_5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred1.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred1_5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred2.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred2_5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred3.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred3_5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred4.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred4_5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\graphred5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\help.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\hideremove.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\highlight.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\hn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_aquarius.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_aries.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_cancer.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_capricorn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_gemini.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_leo.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_libra.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_pisces.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_sagittarius.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_scorpio.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_taurus.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\h_virgo.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\i.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\IEtab1_8.zip

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\images01.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\in.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\j.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\jn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\k.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\kn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\l.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\left.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\ln.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\loading.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\logo.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\logo_facebook.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\minus.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\minus_on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\music2.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\n.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\New York_NY_weather.txt

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\NewCfg

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\news.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\news.html

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\newsb.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\nn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\o.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\p.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\pixsy.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\play.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\play_on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\plus.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\plus_on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\pn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\popup_off.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\popup_on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\popup_ona.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\p_yahoo.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\p_yahoo_fr.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\q.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\qn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\r.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\relatedlinks.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\report.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\right.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rss.xsl

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rss1.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rsslib.js

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\rssmenu1_7a.zip

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\s.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\search.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\search.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\search_fr.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\settings.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\shop2.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sinfo.txt24114046

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\siteinfo.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\slider.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\sn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\spacer.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red1.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red2.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red3.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red4.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stars-red5.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stop.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\stop_on.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\t.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tabdataV3.js

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tabwelcome_en.html

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tabwelcome_fr.html

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tab_icon.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\technorati.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\Thumbs.db

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\tools.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\top.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\top_left.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\top_right.png

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\translate.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\u.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\un.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\utf8.js

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\v.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\vmlib.js

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\vmntoolbartb1501.cfg

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\vn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\w.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\web_fr.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\wikipedia.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\wn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\x.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\xp_close_small.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\yahoo_search.gif

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\YouTube.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\z.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\zn.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\zoom.bmp

C:\DOCUME~1\ADMINI~1\APPLIC~1\VMNToolbar\__slider.bmp

C:\Program Files\VMNToolbar

C:\Program Files\VMNToolbar\install.ico

C:\Program Files\VMNToolbar\tbuninstall.exe

C:\Program Files\VMNToolbar\toolbar.ini

C:\Program Files\VMNToolbar\uninstall.exe

C:\Program Files\VMNToolbar\vmntoolbar.dll

C:\WINDOWS\iun6002.exe

-----------\\ Extensions

 

(Administrateur) - {125aa783-ef4f-4515-a804-aa67116fdb43} => chatzilla-fr-FR

(Administrateur) - {59c81df5-4b7a-477b-912d-4e0fdf64e5f2} => chatzilla

(Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.google.com"

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"

"Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 09/05/2009|21:06 - Option : [1]

-----------\\ Fin du rapport a 21:06:10,79

 

Voilà, merci de m'aider à continué dans cette désinfection.

[Gof]

Bonjour garrapotaloto

 

Ne t'inquiète pas, Pear ne t'a pas oublié, et il revient s'occuper de toi dès que cela lui est possible. Nous avons pour habitude sur Zebulon de n'intervenir qu'à un seul intervenant par sujet, de sorte de ne pas interférer dans la logique des uns et des autres, c'est ce qu'il y a de plus efficace et de plus propre.

 

Je te suggère de patienter, et de continuer sur le sujet initial ici : http://forum.zebulon.fr/rapport-hijackthis-t162416.html

[fredorp59]

re, désolé mais je pense qu'il est absent donc quelqu'un d'autre pourrait m'aider, a+.

Modifié le 10 mai 2009 par garrapotaloto

[Falkra]

Arf, doublon ça ?

 

Je viens de lui dire la même chose ici :

http://forum.zebulon.fr/rapport-hijackthis...67#entry1381267