[résolu]log hijackthis

sterouil · le 4 mai 2005

Bonjour à tous,

C'est la première fois que je me rend sur votre site, et j'espère y trouver la solution a mon problème, car je pense qu'il est de taille.

J'explique :

1 - Dans ma barre de tâche, j'ai une icône ronde et rouge avec une croix blanche à l'intérieur

2 - Lorsqu'on clique dessus (bouton droit ou gauche) Internet Explorer démarre et se connecte au site suivant : www.newgenlook.info/ad/ad0179 (site à caractère pornographique)

3 - Cette adresse se positionne systématiquement dans la page de démarrage par défaut de IE

4 - Régulièrement au bout de quelque minutes, IE démarre automatiquement, se connecte au site ci-dessus et installe sur le bureau plusieurs raccourcis URL qui pointent vers (entre autres...) des sites pornographiques.

5 - J'ai déja passé Ad-Aware, a-squared et Spybot mais rien n'y fait.

6 - J'ai vu sur ce forum que l'on pouvait utiliser des outils experts tels que Hijackthis

Voici mon log:

Logfile of HijackThis v1.99.1

Scan saved at 15:53:53, on 04/05/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\Ati2evxx.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\system32\drivers\dcfssvc.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe

C:\WINNT\system32\regsvc.exe

c:\fotowin\RTETPISv.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\ZONELABS\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINNT\system32\UMonit2K.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\loadqm.exe

C:\Program Files\Zone Labs\Zone alarm2\ZoneAlarm\zlclient.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\a2\a2guard.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\KODAK\Kodak EasyShare software\bin\EasyShare.exe

C:\Program Files\Dialer Tiscali\Dialer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\ROUILLER\LOCALS~1\Temp\Rar$EX00.041\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\UMonit2K.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\Zone alarm2\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: Registration-Studio 8 SE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\KODAK\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINNT\system32\drivers\dcfssvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ptssvc - KODAK - C:\Program Files\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe

O23 - Service: RTE : Partage TAPI (RTETAPIService) - RTE Software - c:\fotowin\RTETPISv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

babounS · le 4 mai 2005

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

---> tu devrais mettre a jour IE (tu n'as pas la derniere version)

pour le reste attend l'analyse d'un membre compétent

A+

queruak · le 4 mai 2005

Bonjour sterouil, babounS, bonjour à tous,

Bienvenue sur Zebulon-sécurité !

Télécharge ce fichier

http://www.silentrunners.org/Silent%20Runners.zip

Une fois téléchargé,tu le dézippes dans un dossier dédié.

Puis tu double cliques sur ce fichier,il va travailler,patiente jusqu'à l'affichage d'un méssage.

Un log est généré dans le meme dossier,colle le log ici.

-Télécharge aussi ce fichier

http://forums.net-integration.net/index.ph...=post&id=142443

Tu le dézippes sur ton bureau.

Un dossier Find-It's est crée sur le bureau.

Ouvre le dossier,douubleclique sur Find-It's.bat

Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes(la recherche est assz mongue,patience !)

-Copie/colle ce rapport ici.

Modifié le 4 mai 2005 par queruak

sterouil · le 4 mai 2005

Bonjour sterouil, babounS, bonjour à tous,

Bienvenue sur Zebulon-sécurité !

Télécharge ce fichier

http://www.silentrunners.org/Silent%20Runners.zip

Une fois téléchargé,tu le dézippes dans un dossier dédié.

Puis tu double cliques sur ce fichier,il va travailler,patiente jusqu'à l'affichage d'un méssage.

Un log est généré dans le meme dossier,colle le log ici.

-Télécharge aussi ce fichier

http://forums.net-integration.net/index.ph...=post&id=142443

Tu le dézippes sur ton bureau.

Un dossier Find-It's est crée sur le bureau.

Ouvre le dossier,douubleclique sur Find-It's.bat

Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes(la recherche est assz mongue,patience !)

-Copie/colle ce rapport ici.

497413[/snapback]

Microsoft Windows 2000 [Version 5.00.2195]

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Dont delete file's in the section without guidance

If any doubt back them up first

»»»»» lagitamate file's can/will show in this section.

»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Le volume dans le lecteur C s'appelle SYSTEME

Le num‚ro de s‚rie du volume est 3B4F-18E1

R‚pertoire de C:\WINNT\SYSTEM32

»»»»» Checking for SAHAgent ico files.

Le volume dans le lecteur C s'appelle SYSTEME

Le num‚ro de s‚rie du volume est 3B4F-18E1

R‚pertoire de C:\WINNT\system32

04/05/2005 08:12 2ÿ238 MP3.ico

04/05/2005 08:12 766 BlackJack.ico

04/05/2005 08:12 2ÿ238 Cruises.ico

04/05/2005 08:12 766 Air Tickets.ico

04/05/2005 08:12 2ÿ238 Online Betting.ico

04/05/2005 08:12 2ÿ238 Car Insurance.ico

04/05/2005 08:12 4ÿ534 Remove Spyware.ico

04/05/2005 08:12 2ÿ238 Cigarettes.ico

04/05/2005 08:12 766 Phentermine.ico

04/05/2005 08:12 2ÿ238 Viagra.ico

04/05/2005 08:12 766 Pharmacy.ico

04/05/2005 08:12 4ÿ286 Big Tits.ico

04/05/2005 08:12 4ÿ286 Pornstars.ico

04/05/2005 08:12 4ÿ286 Oral Sex.ico

04/05/2005 08:12 766 Online Casino.ico

04/05/2005 08:12 766 Party Poker.ico

04/05/2005 08:12 4ÿ606 Credit Card.ico

04/05/2005 08:12 2ÿ238 Forex Trading.ico

04/05/2005 08:12 2ÿ238 Britney Spears.ico

04/05/2005 08:12 4ÿ286 Lesbian Sex.ico

20 fichier(s) 48ÿ784 octets

0 R‚p(s) 3ÿ406ÿ675ÿ968 octets libres

merci à toi pour ton soutien.

sterouil · le 4 mai 2005

Bonjour sterouil, babounS, bonjour à tous,

Bienvenue sur Zebulon-sécurité !

Télécharge ce fichier

http://www.silentrunners.org/Silent%20Runners.zip

Une fois téléchargé,tu le dézippes dans un dossier dédié.

Puis tu double cliques sur ce fichier,il va travailler,patiente jusqu'à l'affichage d'un méssage.

Un log est généré dans le meme dossier,colle le log ici.

497413[/snapback]

"Silent Runners.vbs", revision 36, http://www.silentrunners.org/

Operating System: Windows 2000

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"a-squared" = ""C:\Program Files\a2\a2guard.exe"" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Synchronization Manager" = "mobsync.exe /logon" [MS]

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"Gene USB Monitor" = "C:\WINNT\system32\UMonit2K.exe" ["General"]

"Default" = (no data)

"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

"AVG7_EMC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]

"LoadQM" = "loadqm.exe" [MS]

"Zone Labs Client" = ""C:\Program Files\Zone Labs\Zone alarm2\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]

"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"Share-to-Web Namespace Daemon" = "C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ {++}

"Registrando Panda ActiveX" = "C:\WINNT\System32\regsvr32.exe /s C:\WINNT\System32\ActiveScan\as.dll" [MS]

"Registrando Panda Almacen" = "C:\WINNT\System32\regsvr32.exe /s C:\WINNT\System32\ActiveScan\pavpz.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"

-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]

"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Kodak\IFScore\shellext.dll" ["Eastman Kodak Company"]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]

"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\a2\A2CONT~1.DLL" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"

-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\param32.dll" [null data]

Enabled Screen Saver:

---------------------

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINNT\System32\ssstars.scr" [MS]

Enabled Wallpaper and Active Desktop:

-------------------------------------

Active Desktop is enabled.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\Documents and Settings\ROUILLER\Mes documents\Aline\Carnets de voyage\Sevilla\Sevilla 05\Puente de Triana.JPG"

Startup items in "ROUILLER" & "All Users" startup folders:

----------------------------------------------------------

C:\Documents and Settings\ROUILLER\Menu Démarrer\Programmes\Démarrage

"Registration-Studio 8 SE" -> shortcut to: "C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe Studio 8 SE,ST8SEE,register,FR,0,serial=4536032305" ["Pinnacle Systems, Inc."]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"Logiciel Kodak EasyShare" -> shortcut to: "C:\Program Files\KODAK\Kodak EasyShare software\bin\EasyShare.exe -h" ["Eastman Kodak Company"]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

"EPSON Status Monitor 3 Environment Check 2" -> shortcut to: "C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE" ["SEIKO EPSON CORPORATION"]

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

-> {CLSID}\(Default) = "&Google"

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

-> {CLSID}\(Default) = "&Google"

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

-> {CLSID}\(Default) = "&Google"

-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\System32\Ati2evxx.exe" ["ATI Technologies Inc."]

AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]

AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]

Dcfssvc, Dcfssvc, "C:\WINNT\system32\drivers\dcfssvc.exe" ["Eastman Kodak Company"]

EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]

ptssvc, ptssvc, "C:\Program Files\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe" ["KODAK"]

RTE : Partage TAPI, RTETAPIService, ""c:\fotowin\RTETPISv.exe"" ["RTE Software"]

Système d'événements de COM+, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}

TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZONELABS\vsmon.exe -service" ["Zone Labs Inc."]

----------

This report excludes default entries except where indicated.

To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

----------

-Télécharge aussi ce fichier

http://forums.net-integration.net/index.ph...=post&id=142443

Tu le dézippes sur ton bureau.

Un dossier Find-It's est crée sur le bureau.

Ouvre le dossier,douubleclique sur Find-It's.bat

Lorsqu'il a terminé sa recherche, il ouvre un rapport dans le bloc-notes(la recherche est assz mongue,patience !)

-Copie/colle ce rapport ici.

Microsoft Windows 2000 [Version 5.00.2195]

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Dont delete file's in the section without guidance

If any doubt back them up first

»»»»» lagitamate file's can/will show in this section.

»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»» Checking Windir\svcproc.exe and nail.exe.

»»»»» Checking for System32\DrPMon.dll.

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Le volume dans le lecteur C s'appelle SYSTEME

Le num‚ro de s‚rie du volume est 3B4F-18E1

R‚pertoire de C:\WINNT\SYSTEM32

»»»»» Checking for SAHAgent ico files.

Le volume dans le lecteur C s'appelle SYSTEME

Le num‚ro de s‚rie du volume est 3B4F-18E1

R‚pertoire de C:\WINNT\system32

04/05/2005 08:12 2ÿ238 MP3.ico

04/05/2005 08:12 766 BlackJack.ico

04/05/2005 08:12 2ÿ238 Cruises.ico

04/05/2005 08:12 766 Air Tickets.ico

04/05/2005 08:12 2ÿ238 Online Betting.ico

04/05/2005 08:12 2ÿ238 Car Insurance.ico

04/05/2005 08:12 4ÿ534 Remove Spyware.ico

04/05/2005 08:12 2ÿ238 Cigarettes.ico

04/05/2005 08:12 766 Phentermine.ico

04/05/2005 08:12 2ÿ238 Viagra.ico

04/05/2005 08:12 766 Pharmacy.ico

04/05/2005 08:12 4ÿ286 Big Tits.ico

04/05/2005 08:12 4ÿ286 Pornstars.ico

04/05/2005 08:12 4ÿ286 Oral Sex.ico

04/05/2005 08:12 766 Online Casino.ico

04/05/2005 08:12 766 Party Poker.ico

04/05/2005 08:12 4ÿ606 Credit Card.ico

04/05/2005 08:12 2ÿ238 Forex Trading.ico

04/05/2005 08:12 2ÿ238 Britney Spears.ico

04/05/2005 08:12 4ÿ286 Lesbian Sex.ico

20 fichier(s) 48ÿ784 octets

0 R‚p(s) 3ÿ406ÿ675ÿ968 octets libres

queruak · le 4 mai 2005

Rebonjour,

Télécharge cet outil

Pocket KillBox :

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Une fois téléchargé,tu le dezippes sur ton bureau

Tu attends les instructions !

sterouil · le 4 mai 2005

Merci a toi pour ce soutien,

j'ai télécharger Pocket Killbox et je l'ai dézippé sur le bureau,

j'attend tes instructions pour utiliser le logiciel.

Merci beaucoup.

Pourras tu me fournir les explications de ce que tu m'a fais faire, pour que je puisse tout comprendre. Merci encore

queruak · le 4 mai 2005

Rebonjour,

Tu fais toutes les corrections hors connexion,imprime ou sauvegarde cette page.

-1-Assure toi d'avoir accés à tous les fichiers.

Poste de travail
Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Puis "Appliquer".

-2-Lance Pocket KillBox,et dans la petite boite(sous Full Path of File to Delete) ,tu colles le chemin complet du fichier suivant

C:\WINNT\System32\param32.dll

Coche le bouton"Delete on Reboot " .

Au méssage C:\WINNT\System32\param32.dl will be Deleted on Next Reboot YES / NO

tu reponds par YES

Au méssage"File will be Removed on Reboot, Do you want to reboot now?"

Tu réponds par YES

-3-Redémarre en mode sans echec.

Comment démarrer Windows 2000 en Mode sans échec .

-4-Supprime les fichiers suivants.

C:\WINNT\System32\param32.dll<-le fichier (s'il est toujours présent)

C:\WINNT\system32\MP3.ico<-le fichier

C:\WINNT\system32\BlackJack.ico<-le fichier

C:\WINNT\system32\Cruises.ico<-le fichier

C:\WINNT\system32\Air Tickets.ico<-le fichier

C:\WINNT\system32\Online Betting.ico<-le fichier

C:\WINNT\system32\Car Insurance.ico<-le fichier

C:\WINNT\system32\Remove Spyware.ico<-le fichier

C:\WINNT\system32\Cigarettes.ico<-le fichier

C:\WINNT\system32\Phentermine.ico<-le fichier

C:\WINNT\system32\Viagra.ico<-le fichier

C:\WINNT\system32\Pharmacy.ico<-le fichier

C:\WINNT\system32\Big Tits.ico<-le fichier

C:\WINNT\system32\Pornstars.ico<-le fichier

C:\WINNT\system32\ Oral Sex.ico<-le fichier

C:\WINNT\system32\Online Casino.ico<-le fichier

C:\WINNT\system32\Party Poker.ico<-le fichier

C:\WINNT\system32\Credit Card.ico<-le fichier

C:\WINNT\system32\Forex Trading.ico<-le fichier

C:\WINNT\system32\Britney Spears.ico<-le fichier

C:\WINNT\system32\Lesbian Sex.ico<-le fichier

C:\WINNT\system32\guninstall.exe<-le fichier

C:\WINNT\system32\popup_bl.dll<-le fichier

-5-Vide la corbeille.

-6-Tu fais un scan Hijackthis en mode sans echec.

-7-Redémarre normalement,et poste le log Hijackthis fait en mode sans echec.

-8-Tu annonces la bonne nouvelle

sterouil · le 4 mai 2005

Rebonjour,

Tu fais toutes les corrections hors connexion,imprime ou sauvegarde cette page.

-1-Assure toi d'avoir accés à tous les fichiers.

-2-Lance Pocket KillBox,et dans la petite boite(sous Full Path of File to Delete) ,tu colles le chemin complet du fichier suivant

C:\WINNT\System32\param32.dll

Coche le bouton"Delete on Reboot " .

Au méssage C:\WINNT\System32\param32.dl will be Deleted on Next Reboot YES / NO

tu reponds par YES

Au méssage"File will be Removed on Reboot, Do you want to reboot now?"

Tu réponds par YES

-3-Redémarre en mode sans echec.

Comment démarrer Windows 2000 en Mode sans échec .

-4-Supprime les fichiers suivants.

C:\WINNT\System32\param32.dll<-le fichier (s'il est toujours présent)

C:\WINNT\system32\MP3.ico<-le fichier

C:\WINNT\system32\BlackJack.ico<-le fichier

C:\WINNT\system32\Cruises.ico<-le fichier

C:\WINNT\system32\Air Tickets.ico<-le fichier

C:\WINNT\system32\Online Betting.ico<-le fichier

C:\WINNT\system32\Car Insurance.ico<-le fichier

C:\WINNT\system32\Remove Spyware.ico<-le fichier

C:\WINNT\system32\Cigarettes.ico<-le fichier

C:\WINNT\system32\Phentermine.ico<-le fichier

C:\WINNT\system32\Viagra.ico<-le fichier

C:\WINNT\system32\Pharmacy.ico<-le fichier

C:\WINNT\system32\Big Tits.ico<-le fichier

C:\WINNT\system32\Pornstars.ico<-le fichier

C:\WINNT\system32\ Oral Sex.ico<-le fichier

C:\WINNT\system32\Online Casino.ico<-le fichier

C:\WINNT\system32\Party Poker.ico<-le fichier

C:\WINNT\system32\Credit Card.ico<-le fichier

C:\WINNT\system32\Forex Trading.ico<-le fichier

C:\WINNT\system32\Britney Spears.ico<-le fichier

C:\WINNT\system32\Lesbian Sex.ico<-le fichier

C:\WINNT\system32\guninstall.exe<-le fichier

C:\WINNT\system32\popup_bl.dll<-le fichier

-5-Vide la corbeille.

-6-Tu fais un scan Hijackthis en mode sans echec.

-7-Redémarre normalement,et poste le log Hijackthis fait en mode sans echec.

-8-Tu annonces la bonne nouvelle

497504[/snapback]

J'ai fait ce que tu m'as demandé et voici le log de Hijackthis.

Par contre les icones sont toujours présentes sur le bureau mais avec le sigle windows à la place des photos.

Merci à toi. J'attends ta réponse.

Logfile of HijackThis v1.99.1

Scan saved at 19:28:26, on 04/05/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ROUILLER\LOCALS~1\Temp\Rar$EX00.076\HijackThis.exe