Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU]infesté par par des ....tmp Look2Me

anatole

Par anatole
dans Analyses et éradication malwares

 Partager

Messages recommandés

anatole Extrem Member

anatole

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Depuis quelque temps, je suis infesté par des fichiers : \WINDOWS\Bureau\pavB0E4.TMP qui sont recréés par dizaine sur le bureau après que j'ai effacé les précédents !!!!!

Mon antivirus les identifie comme " Adware/Look2Me No désinfecté " ?? mais que

Trend antiviurs en ligne n'identifie pas

 

Je ne sais plus quoi faire ? Voilà le log de "highjackthis :

Logfile of HijackThis v1.99.0

Scan saved at 03:40:42, on 19/08/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\KHOOKER.EXE

C:\WINDOWS\MIXER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\INTERNET6\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\INTERNET6\IEXPLORE.EXE

C:\PROGRAM FILES\ACCESSOIRES\WORDPAD.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ! Mon internet à moi que j 'ai !

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE

O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Explorateur.lnk = C:\WINDOWS\EXPLORER.EXE

O4 - Startup: Outlook.lnk = C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE

O4 - Startup: caramail.url

O4 - Startup: ClocX.exe.lnk = C:\Program Files\clock\ClocX\ClocX.exe

O4 - Startup: yahoo.url

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/upl...ileUploader.cab

 

Merci de votre aide

Modifié par anatole
Lien vers le commentaire
Partager sur d’autres sites

anatole Extrem Member

anatole

Posté(e)
  • Auteur
Posté(e)

Re-moi je rajoute le log de mon antivirus :

Incident Statut Analyse

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\FHAMEBUF.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DEDIM700.DLL

Adware:adware/wupd No Désinfecté C:\WINDOWS\SYSTEM\ide21201.vxd

Spyware:spyware/spyblocs No Désinfecté

 

C:\WINDOWS\BUREAU\Remove Spyware.url

Spyware:spyware/betterinet No Désinfecté C:\WINDOWS\INF\banner.inf

Adware:adware/statblaster No Désinfecté C:\WINDOWS\minigolf_affiliate.exe

Adware:adware/gator No Désinfecté C:\WINDOWS\GatorHDPlugin.log

Adware:adware/searchexe No Désinfecté Registre Windows

 

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\VOXML.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WDBVW.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\OJE2.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MRC30.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\VKUTIL~1.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WTNALIGN.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MFAB32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MYRD3X40.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\CQL3D.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DPBENG.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\RYAUI.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\RUASMM.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\RQCLTC1.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IIETCPLC.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ggpd.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ilvbr.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IUPEERS.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IRAGEHLP.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MIACM.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\jwproxy.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WI5INF32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DX630_32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\SEOFR.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\RER20.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DSMAP.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\SXCUR32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MBLOCUSR.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\QRARTZ.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\CDMMDLG.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MECI.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\sarrnfr.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\SUOFR.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MPC40.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\SGP32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DSMCLIEN.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IVETCOMM.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WSLP16T.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\UIL.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\hwgt3770.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\gqpd.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DYKAPI32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DP8VB.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\vzdx16.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\Fdnds marins.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MASIP32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DO7VB.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MHMIXMGR.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DRSKCOPY.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WRSUI.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ODFIL400.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\LQâge d'or.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MERSERV.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\XCILEXR.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ONBCBCP.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\NLTDI.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\LAâge d'or.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WOSTREAM.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MPCUIW32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ikagx5.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WGLDLB32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ayl.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\wqploc.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\CCGMGR32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DCNWSOCK.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\cxdft.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MUC40.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DK8VB.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\wqidx.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MLREPL40.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\RMABASE.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\czdft.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IP50_QC.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MZRLE32.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\FUFLT14R.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\wcpcd.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MGJINT40.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\BQACKBOX.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\mgyuv.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\PINMAP.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IUCFGDLL.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\ajl.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MZC40.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MMACM.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DKSCRIPT.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DLSYNTH.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DNNET.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WVASF.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\CPSEQCHK.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\CXM.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\moident.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\IAROP.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\FKOR814S.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MEC30.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\PRD.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\SJNCENG.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\WUBVW.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\sgs3d630.dll

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MFDMO.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\RZAUI.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\MHDMO.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DESKCOPY.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\DEDIM700.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\CRJ_UI.DLL

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\SYSTEM\FHAMEBUF.DLL

Spyware:Spyware/BetterInet No Désinfecté C:\WINDOWS\INF\banner.inf

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\Bureau\pav721C.TMP

Adware:Adware/Look2Me No Désinfecté C:\WINDOWS\Bureau\pav7232.TMP

Dialer:Dialer.Gen No Désinfecté C:\WINDOWS\Downloaded Program Files\CONFLICT.1\607137.exe

Dialer:Dialer.Gen No Désinfecté C:\WINDOWS\Downloaded Program Files\607137.exe

Adware:Adware/Gator No Désinfecté C:\WINDOWS\Downloaded Program Files\HDPlugin1100.dll

Adware:Adware/nCase No Désinfecté C:\WINDOWS\icont.exe

Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut,

 

passe l'outil de nettoyage de look2me

http://securityresponse.symantec.com/avcenter/FxSpL2Me.exe

 

voir la page de symantec

http://securityresponse.symantec.com/avcen...re.look2me.html

 

 

sinon, tu appliques la procedure décrite ici

http://forum.zebulon.fr/index.php?showtopic=69176&st=0

 

en prennant soin de télécharger la derniere version d'hijackthis

Lien vers le commentaire
Partager sur d’autres sites
anatole Extrem Member

anatole

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

Merci pour la réponse : j'ai tout fait bien - j'espère - selon la procédure (mode sans échec...etc) voilà le rapport : Logfile of HijackThis v1.99.1

Scan saved at 14:42:14, on 19/08/05

Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ! Mon internet à moi que j 'ai !

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/upl...ileUploader.cab

 

Bon, a priori, je pense être toujours infecté : de temps en temps grâce à mon firewall je sais que l'explorateur continue à demander l'accès à internet ; ce qui ne me paraît pas normal ??

En ce qui concerne l'envahissement de mon bureau par des fichiers ".tmp", je me demande si il n'y a pas un problème de chemin pour le dossier "temp" : lors de l'installationd'Antivir" il a dit que l'adresse de "temp" était fausse ? ; est-ce normal d'avoir un "temp" & un "temporary internet" à la fois dans "C:" et "dans C/Windows " ??

 

Je me permets de mettre un extrait du rapport "Antivir" (pourquoi faut-il le désinstaller à la fin de la procédure ???) :

C:\WINDOWS\Application Data\Spybot - Search & Destroy\Recovery

AlexaRelated.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

GAINGator.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

BlazefindSearchRelevancy.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

CoolWWWSearch.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

CoolWWWSearch1.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

EffectiveBandToolbar.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

GAINGator1.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

GAINGator2.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

iSearchToolbar.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

iSearchToolbar1.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

nCase.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

nCase1.zip

ArchiveType: ZIP

NOTE! No files to extract.

nCase2.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

ShopAtHome.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

ShopAtHome1.zip

ArchiveType: ZIP

NOTE! The whole archive is password protected

C:\WIN98

DRIVER14.CAB

ArchiveType: CAB (Microsoft)

NOTE! The archive is created by multiple volumes

 

Désolé de la longueur de ces questions ?

Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Bon,

 

on va faire le ménage dans ton rapport, il n'y a rien d'infectieux,

tu coches les lignes :

*

 

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

 

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

 

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

 

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

 

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/upl...ileUploader.cab

 

 

voila, ensuite tu clique sur Fix checked

 

on t'a demandé de désinstaller Antivir pour éviter d'avoir 2 antivirus résidents sur le PC

 

pour les connexions avec l'explorateur, tu l'interdis dans ZA

 

pour les dossiers Temp

ils sont dans C:\Windows et c:\temp

 

tu repostes un rapport et tu dis si tu as toujours des soucis

Lien vers le commentaire
Partager sur d’autres sites
anatole Extrem Member

anatole

Posté(e)
  • Auteur
Posté(e)

Merci

 

j'ai donc fait tout qu'est-ce qu'il fallait... et voilà le logfile of HijackThis v1.99.1

Scan saved at 18:55:28, on 19/08/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE

C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\INTERNET6\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\PCI AUDIO APPLICATIONS\BIN\AUDIORACK.EXE

C:\PROGRAM FILES\PCI AUDIO APPLICATIONS\BIN\WDM\CD PLAYER.EXE

C:\PROGRAM FILES\PCI AUDIO APPLICATIONS\BIN\MIDI PLAYER.EXE

C:\PROGRAM FILES\PCI AUDIO APPLICATIONS\BIN\WDM\NOSPDIF\MP3 PLAYER.EXE

C:\WINDOWS\MIXER.EXE

C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\INTERNET6\IEXPLORE.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ! Mon internet à moi que j 'ai !

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe : ???CONSERVE car j'avais peur de ne plus pouvoir utiliser des Cd depuis l'explorateur ???

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAM FILES\COPERNIC AGENT\COPERNICAGENT.EXE

 

Mais .....je continue à avoir une page ou deux de pub par Spotresults.com à l'ouverture et des demandes bloquées par ZA de "l'explorateur" ou de "rundll32.exe" d'aller sur internet !!!! ce qui est quand même un peu casse-bonbons !!!!!

 

Bon week-end

Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

les pubs et IE , c'est normal

 

il faut changer de navigateur, mettre des filtres pour ne plus avoir de pub,

firefox le fait tres bien, voir ici :

http://forum.zebulon.fr/index.php?showtopic=69628

 

installer un fichier hosts qui bloque les sites crapuleux, ensuite, ca devrait aller mieux

http://hosts.file.free.fr/index.php

Lien vers le commentaire
Partager sur d’autres sites
anatole Extrem Member

anatole

Posté(e)
  • Auteur
Posté(e)

:P Merci à Tesgaz : grande qualité et efficacité de tes réponses : bravo :P je vais explorer cette histoire "d'hosts" : moi je ne suis pas un spécialiste !!!!

 

Apparemment en réouvrant aujourd'hui Internet je suis beaucoup plus tranquille ? J'ai repéré et viré un.... "iconu.exe" ????

 

Comment marque-t-on un topic : "résolu" ?? :-P

 

Petite question supplémentaire : peut-on vraiment détruire tous les fichiers ".tmp" quel que soit l'endoit où il se trouve ? :-(

 

Bon week-end et vive Zéulon !!! :P

Lien vers le commentaire
Partager sur d’autres sites
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

salut,

 

pour résolu, tu retourne sur ton premier post et tu cliques sur Editer

 

pour les temp

 

tu peux tous les virer, s'il en reste qui résistent, c'est normal, ils sont utilisés

 

 

Mais qu'est-ce que c'est le ficher "hosts" ?

 

Hosts est un carnet d'adresses IP dans un fichier qui agit comme un serveur DNS (Domaine Name Server) utilisé en local.

Lorsque vous entrez une adresse comme: http://www.tf1.fr/ dans votre navigateur, le fichier Hosts est consulté pour voir si vous avez l'adresse IP correspondant à ce site. Si elle est trouvée, votre ordinateur l'appelle et ouvre le site.

S' il ne la trouve pas, c'est le serveur DNS de votre FAI qui la fournit.

 

Chaque PC a sa propre adresse IP qui se nomme "localhost" avec l'adresse IP 127.0.0.1, elle est utilisée pour se reporter à elle-même en local.

Donc tous les noms des sites associés à cette adresse IP seront automatiquement renvoyés à votre PC, et votre PC n'ira pas sur le réseau pour rechercher les adresses inscrites et de ce fait n'ouvrira pas les pages associées à l'adresse IP 127.0.0.1

 

Exemple :
127.0.0.1  localhost  
127.0.0.1       tf1.fr # n'ira pas chercher la page sur le réseau et n'ouvrira pas la page associée(donc la page sera bloquée)
195.68.47.6     tf1.fr  # ouvrira la page de tf1 sans passer par le serveur DNS de votre fAI

 

 

# Si tf1 n'est pas indiqué dans votre fichier hosts, c'est le serveur DNS de votre FAI qui prendra le relais et permettra d'ouvrir la page de TF1

 

voila

Modifié par tesgaz
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...