[résolu]beug

pounette · le 10 août 2005

bonjour à tous

je viens malheureusement completer la longue liste des personnes touchées par toxbot et divers petits logiciels qui m'empechent de vivre ma vie de PC

Norton a reussi a neutraliser Mapi32.exe et l'éliminer mais il reste pas mal de propblemes car des pages internet s'ouvrent toutes seules et pleins d'icones viennent me poluer mon bureau

J'ai voulu suivre les instructions pour faire un rapport d'analyse HijacThis mais le probleme quand je passe en mode sans echec est que je ne peux plus taper mon mot de passe pour ouvrir ma session le clavier ne reponds plus

si quelqu'un a une solution

merci d'avance

le 10 août 2005

Bonsoir, poste ton rapport en mode normal.

pounette · le 10 août 2005

ok merci de m'avoir repondu

je fais suivre mon analyse en mode normal

Logfile of HijackThis v1.99.1

Scan saved at 22:52:39, on 10/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\SymProxySvc.exe

C:\Program Files\Norton Internet Security\NISSERV.EXE

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program Files\Norton Internet Security\IAMAPP.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\PROGRA~1\PHILIP~1\VProperty.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Media Gateway\MediaGateway.exe

C:\WINDOWS\kcmri.exe

C:\WINDOWS\logon.exe

C:\Program Files\SurfAccuracy\SAcc.exe

C:\Program Files\ISTsvc\istsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\etb\pokapoka62.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

c:\progra~1\intern~1\iexplore.exe

C:\WINDOWS\System32\w?nlogon.exe

C:\Program Files\roia\eumn.exe

C:\WINDOWS\System32\Netmon.exe

C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.edxphpumrwkndfinvt.com/aqe0Qopp...wufUTN0IKm.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 209.107.25.67 onlineaccounts2.abbeynational.co.uk

O1 - Hosts: 209.107.25.67 www3.aibgbonline.co.uk

O1 - Hosts: 209.107.25.67 www.bank.alliance-leicester.co.uk

O1 - Hosts: 209.107.25.67 login.iblogin.com

O1 - Hosts: 209.107.25.67 ww2.bankofscotlandhalifax-online.co.uk

O1 - Hosts: 209.107.25.67 inet.barclays.co.uk

O1 - Hosts: 209.107.25.67 iibank.barclays.co.uk

O1 - Hosts: 209.107.25.67 iibank.cahoot.com

O1 - Hosts: 209.107.25.67 www3.coventrybuildingsociety.co.uk

O1 - Hosts: 209.107.25.67 ww.hsbc.co.uk

O1 - Hosts: 209.107.25.67 login.ebank.offshore.hsbc.co.je

O1 - Hosts: 209.107.25.67 ww3.online-offshore.lloydstsb.com

O1 - Hosts: 209.107.25.67 ww3.online-business.lloydstsb.co.uk

O1 - Hosts: 209.107.25.67 ww3.online.lloydstsb.co.uk

O1 - Hosts: 209.107.25.67 ww3.online-business.lloydstsb.co.uk

O1 - Hosts: 209.107.25.67 ob2.nationet.com

O1 - Hosts: 209.107.25.67 ww3.onlinebanking.natwestoffshore.com

O1 - Hosts: 209.107.25.67 ww1.nwolb.com

O1 - Hosts: 209.107.25.67 ww1.onlinebanking.iombank.com

O1 - Hosts: 209.107.25.67 ww1.www.rbsdigital.com

O1 - Hosts: 209.107.25.67 welcome.smile.co.uk

O1 - Hosts: 209.107.25.67 login.365online.com

O1 - Hosts: 209.107.25.67 wvw.citizensbankonline.com

O1 - Hosts: 209.107.25.67 esecure.regionsnet.com

O1 - Hosts: 209.107.25.67 rollb.associatedbank.com

O1 - Hosts: 209.107.25.67 upb.unionplanters.com

O1 - Hosts: 209.107.25.67 www.onlinebanking.huntington.com

O1 - Hosts: 209.107.25.67 inet.southtrustonlinebanking.com

O1 - Hosts: 209.107.25.67 logon.personal.wamu.com

O1 - Hosts: 209.107.25.67 login.compassweb.com

O1 - Hosts: 209.107.25.67 logon.firstmeritib.com

O1 - Hosts: 209.107.25.67 login.ccfcuonline.org

O1 - Hosts: 209.107.25.67 ww3.etimebanker.bankofthewest.com

O1 - Hosts: 209.107.25.67 ww2.onlinebanking.lasallebank.com

O1 - Hosts: 209.107.25.67 wvw.totallyfreebanking.com

O1 - Hosts: 209.107.25.67 www.online.wellsfargo.com

O1 - Hosts: 209.107.25.67 www.onlinebanking.bankofoklahoma.com

O1 - Hosts: 209.107.25.67 accounts4.keybank.com

O1 - Hosts: 209.107.25.67 logon.bankone.com

O1 - Hosts: 209.107.25.67 www.secure.tdbanknorth.com

O1 - Hosts: 209.107.25.67 www.secure.mvnt4.com

O1 - Hosts: 209.107.25.67 ww.mynfbonline.com

O1 - Hosts: 209.107.25.67 login.forumcuonline.com

O1 - Hosts: 209.107.25.67 www.eds.usersonlnet.com

O1 - Hosts: 209.107.25.67 www.onlineid.bankofamerica.com

O1 - Hosts: 209.107.25.67 wvw.e-gold.com

O1 - Hosts: 209.107.25.67 pcbs.peoples.com

O1 - Hosts: 209.107.25.67 www.global1.onlinebank.com

O1 - Hosts: 209.107.25.67 ww2.mybranch.lafcu.com

O1 - Hosts: 209.107.25.67 login.webbanking.comerica.com

O1 - Hosts: 209.107.25.67 web.banking.firsttennessee.com

O1 - Hosts: 209.107.25.67 logon.members1st.org

O1 - Hosts: 209.107.25.67 www.cib.ibanking-services.com

O1 - Hosts: 209.107.25.67 www.miwebbusbank.ebanking-services.com

O1 - Hosts: 209.107.25.67 wvw.paypal.com

O1 - Hosts: 209.107.25.67 www.signin.ebay.com

O1 - Hosts: 209.107.25.67 wvw.etrade.com

O1 - Hosts: 209.107.25.67 ww4.fleethomelink.fleet.com

O1 - Hosts: 209.107.25.67 ww3.connect.skyfi.com

O1 - Hosts: 209.107.25.67 www6.usbank.com

O1 - Hosts: 209.107.25.67 www.bvi.bancodevalencia.es

O1 - Hosts: 209.107.25.67 extrant.banesto.es

O1 - Hosts: 209.107.25.67 banesnt.banesto.es

O1 - Hosts: 209.107.25.67 activia.caixagalicia.es

O1 - Hosts: 209.107.25.67 www.bancae.caixapenedes.com

O1 - Hosts: 209.107.25.67 login.caixasabadell.net

O1 - Hosts: 209.107.25.67 oii.cajamadrid.es

O1 - Hosts: 209.107.25.67 login.cajamar.es

O1 - Hosts: 209.107.25.67 login.ccm.es

O1 - Hosts: 209.107.25.67 ww.unicaja.es

O1 - Hosts: 209.107.25.67 www5.bancopopular.es

O1 - Hosts: 209.107.25.67 ww3.bbvanet.com

O1 - Hosts: 209.107.25.67 ww.bayernlb.de

O1 - Hosts: 209.107.25.67 ww2.berliner-volksbank.de

O1 - Hosts: 209.107.25.67 ww7.homebanking-berlin.de

O1 - Hosts: 209.107.25.67 portal09.commerzbanking.de

O1 - Hosts: 209.107.25.67 www.meine.deutsche-bank.de

O1 - Hosts: 209.107.25.67 ww2.dresdner-privat.de

O1 - Hosts: 209.107.25.67 ww.e-banking.helaba.de

O1 - Hosts: 209.107.25.67 ww.hsh-nordbank.de

O1 - Hosts: 209.107.25.67 www.my.hypovereinsbank.de

O1 - Hosts: 209.107.25.67 ww3.homebanking-berlin.de

O1 - Hosts: 209.107.25.67 www.banking.lbbw.de

O1 - Hosts: 209.107.25.67 lrp.sparkasse-banking.de

O1 - Hosts: 209.107.25.67 ww3.homebanking-niedersachsen.de

O1 - Hosts: 209.107.25.67 www.onlinebanking.norisbank.de

O1 - Hosts: 209.107.25.67 www.banking.postbank.de

O1 - Hosts: 209.107.25.67 wvw.internetbanking.gad.de

O1 - Hosts: 209.107.25.67 ww1.portal.izb.de

O1 - Hosts: 209.107.25.67 wvw.kunden-service.lbs.de

O1 - Hosts: 209.107.25.67 ibanking.seb.de

O1 - Hosts: 209.107.25.67 bw7.sparkasse-banking.de

O1 - Hosts: 209.107.25.67 ww2.homebanking-sparkasse.de

O1 - Hosts: 209.107.25.67 ww2.vr-networld-ebanking.de

O1 - Hosts: 209.107.25.67 ww.bics.fr

O1 - Hosts: 209.107.25.67 www.co.caixabank.fr

O1 - Hosts: 209.107.25.67 ww.creditmutuel.fr

O1 - Hosts: 209.107.25.67 internetbank.intesabci.it

O1 - Hosts: 209.107.25.67 ww.extensive.bancalombarda.it

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE

O4 - HKLM\..\Run: [eCarteBleue-SG-P3] "C:\Program Files\e-Carte Bleue\SG\e-Carte Bleue\ECB-SG.exe" /dontopenmycards

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitejgf32.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKLM\..\Run: [pP6ECTAZ] C:\WINDOWS\kcmri.exe

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [liveinfoboltbags] C:\Documents and Settings\All Users\Application Data\TypeFilmLiveInfo\Keepinternet.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [Audioholdtraymore] C:\Documents and Settings\All Users\Application Data\optionplanaudiohold\soft free.exe

O4 - HKLM\..\Run: [system service62] C:\WINDOWS\etb\pokapoka62.exe

O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [cos4RPc6g] ntd6mon.exe

O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [Zlwu] C:\WINDOWS\System32\w?nlogon.exe

O4 - HKCU\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKCU\..\Run: [Wipe Chic] C:\DOCUME~1\alain\APPLIC~1\PlusPeak\MEOW JUGS.exe

O4 - HKCU\..\Run: [Csrt] C:\Program Files\roia\eumn.exe

O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb012

O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\Memoweb 3\IEBtn\Launcher (file missing)

O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\Memoweb 3\IEBtn\Launcher (file missing)

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/

O15 - Trusted Zone: *.media-motor.net

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_nos_med.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...Bridge-c139.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...s/yinst0401.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02eeb91b6c88f5...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123446898296

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} - http://cabs.media-motor.net/cabs/joysaver.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

@+

angelique · le 10 août 2005

powaaaaaaaa!!!stonangel,megataupe ou ipl vont s'amuser,tous les host en 01

plien de run en 04!!

enfin,je suis pas assez doué pour etre sure à 100%,mais ç'est bien pollué!!

Modifié le 10 août 2005 par angelique

ipl_001 · le 10 août 2005

Bonsoir pounette, Stonangel, angelique, bonsoir à tous,

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

Stonangel, laisse le moi ! laisse le moi !... je compte jusqu'à 100 puis je réponds !

Plus de clavier en mode sans échec ??? Aurais-tu par hasard un clavier connecté par USB ?

Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

En attendant...

----- Lop.com / MySearchBar :

Lop peut détourner la page de démarrage et/ou installer une barre d'outils.

Attention, il se peut que ton antivirus se mette à hurler lors de cette opération car il croira y reconnaître le malware ! Auquel cas, désactive le momentanément !

Lopremover sur http://www.thespykiller.co.uk/files/lopremover.exe

ou

Désinfection sur http://www.lop.com/new_uninstall.exe (page de démarrage)

ou http://lop.com/toolbar_uninstall.exe (toolbar)

ou http://66.220.17.157/new_uninstall.exe (page de démarrage)

ou http://66.220.17.157/toolbar_uninstall.exe (toolbar)

Attention, tu vas là sur le site de celui qui envoie les malwares... ne t'y attarde quand même pas !

ou http://www.thatcomputerguy.us/downloads/lo...w_uninstall.exe (page de démarrage)

ou http://www.thatcomputerguy.us/downloads/lo...r_uninstall.exe (toolbar)

--- passer le programme de désinstallation

--- changer la page de démarrage dans les options Internet

Lop.com se prétend régie marketing et est autorisée à implanter des spywares sous condition :

- obtenir l'autorisation des internautes

- fournir sur son site Web, un outil de désinstallation

ipl_001 · le 10 août 2005

Rebonsoir pounette, Stonangel, angelique, rebonsoir à tous,

-1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec.

-2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

-3- Télécharge et dézippe Hoster de ToadBee ; D/L et tuto -> http://www.funkytoad.com/hoster.htm

-4- Redémarre l'ordinateur en mode sans échec.

-5- Lance Hoster et clique sur "Restore Original Hosts"

-6- Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes :

--- 180solutions

--- Media Gateway

--- SurfAccuracy

--- ISTsvc

--- roia

Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué.

-7- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.edxphpumrwkndfinvt.com/aqe0Qopp...wufUTN0IKm.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

O1 - Hosts: 209.107.25.67 onlineaccounts2.abbeynational.co.uk

O1 - Hosts: 209.107.25.67 www3.aibgbonline.co.uk

O1 - Hosts: 209.107.25.67 www.bank.alliance-leicester.co.uk

O1 - Hosts: 209.107.25.67 login.iblogin.com

O1 - Hosts: 209.107.25.67 ww2.bankofscotlandhalifax-online.co.uk

O1 - Hosts: 209.107.25.67 inet.barclays.co.uk

O1 - Hosts: 209.107.25.67 iibank.barclays.co.uk

O1 - Hosts: 209.107.25.67 iibank.cahoot.com

O1 - Hosts: 209.107.25.67 www3.coventrybuildingsociety.co.uk

O1 - Hosts: 209.107.25.67 ww.hsbc.co.uk

O1 - Hosts: 209.107.25.67 login.ebank.offshore.hsbc.co.je

O1 - Hosts: 209.107.25.67 ww3.online-offshore.lloydstsb.com

O1 - Hosts: 209.107.25.67 ww3.online-business.lloydstsb.co.uk

O1 - Hosts: 209.107.25.67 ww3.online.lloydstsb.co.uk

O1 - Hosts: 209.107.25.67 ww3.online-business.lloydstsb.co.uk

O1 - Hosts: 209.107.25.67 ob2.nationet.com

O1 - Hosts: 209.107.25.67 ww3.onlinebanking.natwestoffshore.com

O1 - Hosts: 209.107.25.67 ww1.nwolb.com

O1 - Hosts: 209.107.25.67 ww1.onlinebanking.iombank.com

O1 - Hosts: 209.107.25.67 ww1.www.rbsdigital.com

O1 - Hosts: 209.107.25.67 welcome.smile.co.uk

O1 - Hosts: 209.107.25.67 login.365online.com

O1 - Hosts: 209.107.25.67 wvw.citizensbankonline.com

O1 - Hosts: 209.107.25.67 esecure.regionsnet.com

O1 - Hosts: 209.107.25.67 rollb.associatedbank.com

O1 - Hosts: 209.107.25.67 upb.unionplanters.com

O1 - Hosts: 209.107.25.67 www.onlinebanking.huntington.com

O1 - Hosts: 209.107.25.67 inet.southtrustonlinebanking.com

O1 - Hosts: 209.107.25.67 logon.personal.wamu.com

O1 - Hosts: 209.107.25.67 login.compassweb.com

O1 - Hosts: 209.107.25.67 logon.firstmeritib.com

O1 - Hosts: 209.107.25.67 login.ccfcuonline.org

O1 - Hosts: 209.107.25.67 ww3.etimebanker.bankofthewest.com

O1 - Hosts: 209.107.25.67 ww2.onlinebanking.lasallebank.com

O1 - Hosts: 209.107.25.67 wvw.totallyfreebanking.com

O1 - Hosts: 209.107.25.67 www.online.wellsfargo.com

O1 - Hosts: 209.107.25.67 www.onlinebanking.bankofoklahoma.com

O1 - Hosts: 209.107.25.67 accounts4.keybank.com

O1 - Hosts: 209.107.25.67 logon.bankone.com

O1 - Hosts: 209.107.25.67 www.secure.tdbanknorth.com

O1 - Hosts: 209.107.25.67 www.secure.mvnt4.com

O1 - Hosts: 209.107.25.67 ww.mynfbonline.com

O1 - Hosts: 209.107.25.67 login.forumcuonline.com

O1 - Hosts: 209.107.25.67 www.eds.usersonlnet.com

O1 - Hosts: 209.107.25.67 www.onlineid.bankofamerica.com

O1 - Hosts: 209.107.25.67 wvw.e-gold.com

O1 - Hosts: 209.107.25.67 pcbs.peoples.com

O1 - Hosts: 209.107.25.67 www.global1.onlinebank.com

O1 - Hosts: 209.107.25.67 ww2.mybranch.lafcu.com

O1 - Hosts: 209.107.25.67 login.webbanking.comerica.com

O1 - Hosts: 209.107.25.67 web.banking.firsttennessee.com

O1 - Hosts: 209.107.25.67 logon.members1st.org

O1 - Hosts: 209.107.25.67 www.cib.ibanking-services.com

O1 - Hosts: 209.107.25.67 www.miwebbusbank.ebanking-services.com

O1 - Hosts: 209.107.25.67 wvw.paypal.com

O1 - Hosts: 209.107.25.67 www.signin.ebay.com

O1 - Hosts: 209.107.25.67 wvw.etrade.com

O1 - Hosts: 209.107.25.67 ww4.fleethomelink.fleet.com

O1 - Hosts: 209.107.25.67 ww3.connect.skyfi.com

O1 - Hosts: 209.107.25.67 www6.usbank.com

O1 - Hosts: 209.107.25.67 www.bvi.bancodevalencia.es

O1 - Hosts: 209.107.25.67 extrant.banesto.es

O1 - Hosts: 209.107.25.67 banesnt.banesto.es

O1 - Hosts: 209.107.25.67 activia.caixagalicia.es

O1 - Hosts: 209.107.25.67 www.bancae.caixapenedes.com

O1 - Hosts: 209.107.25.67 login.caixasabadell.net

O1 - Hosts: 209.107.25.67 oii.cajamadrid.es

O1 - Hosts: 209.107.25.67 login.cajamar.es

O1 - Hosts: 209.107.25.67 login.ccm.es

O1 - Hosts: 209.107.25.67 ww.unicaja.es

O1 - Hosts: 209.107.25.67 www5.bancopopular.es

O1 - Hosts: 209.107.25.67 ww3.bbvanet.com

O1 - Hosts: 209.107.25.67 ww.bayernlb.de

O1 - Hosts: 209.107.25.67 ww2.berliner-volksbank.de

O1 - Hosts: 209.107.25.67 ww7.homebanking-berlin.de

O1 - Hosts: 209.107.25.67 portal09.commerzbanking.de

O1 - Hosts: 209.107.25.67 www.meine.deutsche-bank.de

O1 - Hosts: 209.107.25.67 ww2.dresdner-privat.de

O1 - Hosts: 209.107.25.67 ww.e-banking.helaba.de

O1 - Hosts: 209.107.25.67 ww.hsh-nordbank.de

O1 - Hosts: 209.107.25.67 www.my.hypovereinsbank.de

O1 - Hosts: 209.107.25.67 ww3.homebanking-berlin.de

O1 - Hosts: 209.107.25.67 www.banking.lbbw.de

O1 - Hosts: 209.107.25.67 lrp.sparkasse-banking.de

O1 - Hosts: 209.107.25.67 ww3.homebanking-niedersachsen.de

O1 - Hosts: 209.107.25.67 www.onlinebanking.norisbank.de

O1 - Hosts: 209.107.25.67 www.banking.postbank.de

O1 - Hosts: 209.107.25.67 wvw.internetbanking.gad.de

O1 - Hosts: 209.107.25.67 ww1.portal.izb.de

O1 - Hosts: 209.107.25.67 wvw.kunden-service.lbs.de

O1 - Hosts: 209.107.25.67 ibanking.seb.de

O1 - Hosts: 209.107.25.67 bw7.sparkasse-banking.de

O1 - Hosts: 209.107.25.67 ww2.homebanking-sparkasse.de

O1 - Hosts: 209.107.25.67 ww2.vr-networld-ebanking.de

O1 - Hosts: 209.107.25.67 ww.bics.fr

O1 - Hosts: 209.107.25.67 www.co.caixabank.fr

O1 - Hosts: 209.107.25.67 ww.creditmutuel.fr

O1 - Hosts: 209.107.25.67 internetbank.intesabci.it

O1 - Hosts: 209.107.25.67 ww.extensive.bancalombarda.it

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitejgf32.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKLM\..\Run: [pP6ECTAZ] C:\WINDOWS\kcmri.exe

O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [liveinfoboltbags] C:\Documents and Settings\All Users\Application Data\TypeFilmLiveInfo\Keepinternet.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [Audioholdtraymore] C:\Documents and Settings\All Users\Application Data\optionplanaudiohold\soft free.exe

O4 - HKLM\..\Run: [system service62] C:\WINDOWS\etb\pokapoka62.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe

O4 - HKLM\..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O4 - HKCU\..\Run: [Zlwu] C:\WINDOWS\System32\w?nlogon.exe

O4 - HKCU\..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKCU\..\Run: [Wipe Chic] C:\DOCUME~1\alain\APPLIC~1\PlusPeak\MEOW JUGS.exe

O4 - HKCU\..\Run: [Csrt] C:\Program Files\roia\eumn.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb012

O15 - Trusted Zone: *.media-motor.net

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_nos_med.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int10.exe

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...Bridge-c139.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...s/yinst0401.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02eeb91b6c88f5...RdxIE601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123446898296

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} - http://cabs.media-motor.net/cabs/joysaver.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O18 - Protocol: hola - {626601A0-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O18 - Protocol: holb - {626601A1-4BAE-11D1-A7E1-00A0246C1E64} - (no file)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

-8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

--- C:\foo.mht

--- c:\ied_s7.cab

--- c:\x.cab

--- C:\WINDOWS\kcmri.exe

--- C:\WINDOWS\logon.exe

--- C:\Documents and Settings\All Users\Application Data\TypeFilmLiveInfo\Keepinternet.exe

--- C:\Documents and Settings\All Users\Application Data\optionplanaudiohold\soft free.exe

--- C:\DOCUME~1\alain\Application Data\PlusPeak\MEOW JUGS.exe

--- C:\windows\system32\elitejgf32.exe

--- C:\WINDOWS\System32\w?nlogon.exe

--- C:\Program Files\Media Gateway (supprime le dossier)

--- C:\Program Files\SurfAccuracy (supprime le dossier)

--- C:\Program Files\ISTsvc (supprime le dossier)

--- C:\WINDOWS\etb (supprime le dossier)

--- C:\Program Files\roia (supprime le dossier)

--- phqghu.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

--- msnq3insller.exe (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?)

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.

- suppression des fichiers inutiles par EasyCleaner-Inutile(s)

- vidage des zones de quarantaine éventuelles

- nettoyage de la base de registres par EasyCleaner-Registre

-9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

-10- Qu'en est-il des dysfonctionnements ?

Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Il faut que tu remplaces La Machine Virtuelle Java de Microsoft par celle de Sun MicroSystems en allant sur http://www.java.com/

pounette · le 11 août 2005

message personnel pour Ipl

il m'a sembler detecter dans ta reponse de prise en charge de mon cas un plaisir intense, j'espere partager les memes sentiments à la fin de ma galere.

des que je rentre je m'occupe de suivre tes instructions à la lettre si j'y arrive en sachant que je ne suis pas une pro de l'informatique

pour information mon clavier n'est pas connecté par un port USB

en esperant que le mode sans echec fonctionne ce soir!!!!!!!!

question peut etre bete mais je pose quand meme

je passe par la touche F8 pour y acceder j'ai vu qu'il y avait une autre façon d'y acceder directement en configurant mon ordi mais une fois dans ce mode si le clavier est toujours innactif je fais comment moi pour reconfigurer mon ordi en mode normal ??????

@+

Nico76300 · le 11 août 2005

Bonjour à tous,

il me semble que pour démarrer automatiquement en mode sans échecs, il faut cliquer sur démarrer/exécuter la tu tapes msconfig, tu confirmes avec entrée.

Et là dans l'onglet général, tu sélectionnes démarrage diagnostic.

Mais ça demande confirmation je suis loin d'être sur de la chose.

Modifié le 11 août 2005 par Nico76300

pounette · le 11 août 2005

c'est bon je m'installe a faire tout ce qui est demandé

rectification pour la connection clavier je viens de verifier c'est un raccord USB

@+

pounette · le 11 août 2005

salut la nuit arrive et moi avec

Apres plusieurs tentatives pour acceder au mode sans echec avec clavier j'ai enfin trouver la solution si cela interresse quelqu'un je ferai suivre la procedure

sinon je fais suivre le dernier rapport hijackthis

j'ai pas trouver les programmes suivant

180solutions, SurfAccuracy, ISTsv,roia dans Ajout-suppression de programmes

par contre j'ai trouver des programmes bizarres et je sais pas a quoi ils servent

OIN , Abox.exe

et Norton me signal le virus W32 toxbot (Netmon.exe)

j'ai scanner l'ordi avec easycleaner vu tous les dossiers qu'il a trouver j'ai eu tres peur

es tu sur que je peux tous supprimer moi j'ai pas oséé j'ai sauvegardé la liste si tu veux je peux la mettre dans un prochain message

en attendant voila mon premier rapport