[résolu] Ma première analyse Hijackthis

[bladestock]

Bonjour à tous ! Je n'y connais pas grand chose en informatique... C'est donc pour cela que je vous demande de l'aide pour ce rapport. D'avance, merci à tous !!

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:20:00, on 30/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\System32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\CleanMgr.exe

F:\WINDOWS\explorer.exe

F:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.obzczuooyrwzeec.us/HVJNgpHHHJPH.../r13FwHHm2b.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.flwpacixrhhwmukonqxiwd.com/HVJN...HY6LQ7EMKI.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {62AC4A14-2B5C-D6A5-E538-10A5EC931D44} - F:\DOCUME~1\Yann\APPLIC~1\STARTB~1\INTRAHTM.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [smcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [start uploading] smsss.exe

O4 - HKLM\..\Run: [intelliType] "F:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "F:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [two drive 1 itch] F:\Documents and Settings\All Users\Application Data\Newjumptwodrive\LicenseHide.exe

O4 - HKLM\..\Run: [AVGCtrl] F:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [start uploading] smsss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [start uploading] smsss.exe

O4 - HKCU\..\Run: [Peak Regs] F:\DOCUME~1\Yann\APPLIC~1\PROCCL~1\blue itch.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\RunServices: [start uploading] smsss.exe

O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Program Files\Sygate\SPF\smc.exe

Modifié le 6 janvier 2006 par bladestock

[megataupe]

Bonsoir Bladestock. Ton PC est infecté, applique cette procédure :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

[bladestock]

Merci de ces indications, mais j'ai déjà fait tout ça, après avoir lu les épinglés... Alors peut-être que je me suis trompé ?

[megataupe]

Ok, excuse moi mais c'est la fin de l'année .

En attendant que j'examine ton rapport, désinstalle

un des 2 antivirus (AVG ou Antivir).

 

A tout à l'heure

[bladestock]

Ok c'est chose faite ! a+ !

[megataupe]

Dans un premier temps, imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pourvoir les consultés en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

O2 - BHO: (no name) - {62AC4A14-2B5C-D6A5-E538-10A5EC931D44} – F:\DOCUME~1\Yann\APPLIC~1\STARTB~1\INTRAHTM.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [start uploading] smsss.exe

O4 - HKLM\..\RunServices: [start uploading] smsss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [start uploading] smsss.exe

O4 - HKCU\..\RunServices: [start uploading] smsss.exe

04 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

 

 

 

Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked"

 

- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows :

 

smsss.exe (probablement dans system32)

 

Attention, ne pas confondre avec ce fichier F:\WINDOWS\System32\smss.exe qui lui

est un fichier indispensable de Windows.

 

En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc..

 

Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons". Dans les deux cas, supprime tous ce qu'il te propose.

 

Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

Modifié le 30 décembre 2005 par megataupe

[bladestock]

Voilà j'ai fait tout ce que tu m'aais dit, et je te poste le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 23:46:05, on 30/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\System32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Sygate\SPF\smc.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\SOUNDMAN.EXE

F:\Program Files\QuickTime\qttask.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

F:\Program Files\Microsoft Hardware\Keyboard\type32.exe

F:\Program Files\Messenger Plus! 3\MsgPlus.exe

F:\Program Files\Winamp\winampa.exe

F:\Program Files\Internet Explorer\iexplore.exe

C:\themeGold55\CursorXP\CursorXP.exe

F:\WINDOWS\System32\RUNDLL32.EXE

f:\progra~1\intern~1\iexplore.exe

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\System32\rsvp.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tfybxggrxrsca.com/HVJNgpHHHJPHN...fr13FwHHm2b.cgi

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [smcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [intelliType] "F:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "F:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [two drive 1 itch] F:\Documents and Settings\All Users\Application Data\Newjumptwodrive\LicenseHide.exe

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [Peak Regs] F:\DOCUME~1\Yann\APPLIC~1\PROCCL~1\blue itch.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Program Files\Sygate\SPF\smc.exe

 

 

 

Lorque je clique sur l'icône de IE, j'ai tjs un site que je ne désire pas.... (searchweb) Je n'ai pas l'impression d'être totalement guéri !

[megataupe]

En effet .

 

Désinstalle par ajout/suppression de programmes :

 

F:\Program Files\Messenger Plus! 3\MsgPlus.exe

 

(tu le réinstalleras après, surtout sans les sponsors)

 

Désactive le tea timer de Spybot, relance Hijackthis

et fixe les lignes suivantes :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tfybxggrxrsca.com/HVJNgpHHHJPHN...fr13FwHHm2b.cgi

O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [two drive 1 itch] F:\Documents and Settings\All Users\Application Data\Newjumptwodrive\LicenseHide.exe

 

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper

 

* Clique sur "Essayer".

* Installe le programme. Une fois installé, il se lancera.

* L'option de le mettre à jour s'affichera; clic Yes.

* Lorsque les mises à jour seront installées, clic Options sur la gauche.

* Clic sur l'onglet Sweep Options.

* Sous What to Sweep, coche les options suivantes:

o Sweep Memory

o Sweep Registry

o Sweep Cookies

o Sweep All User Accounts

o Enable Direct Disk Sweeping

o Sweep Contents of Compressed Files

o Sweep for Rootkits

o DÉCOCHE Do not Sweep System Restore Folder.

* Clic Sweep Now sur la gauche.

* Clic sur Start.

* Quand le scan est terminé, clic sur Next.

* Assure-toi que tous les items sont cochés, puis clic sur Next.

* Tous les items cochés seront éliminés.

* Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.

* Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.

* Clic sur l'onglet Summary, puis clic sur Finish.

* Colle le contenu du "Session Log" dans ta prochaine réponse avec un

nouveau rapport HijackThis.

[bladestock]

Je commence à désespérer, je dois être un cas super spécial... Voilà le rapport hijackthis fait après SpySweeper, suivi du log de SpySweeper :

 

Logfile of HijackThis v1.99.1

Scan saved at 1:56:06, on 31/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\System32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Sygate\SPF\smc.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\SOUNDMAN.EXE

F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

F:\Program Files\Microsoft Hardware\Keyboard\type32.exe

F:\Program Files\Winamp\winampa.exe

F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\themeGold55\CursorXP\CursorXP.exe

F:\WINDOWS\System32\RUNDLL32.EXE

f:\progra~1\intern~1\iexplore.exe

F:\Program Files\Internet Explorer\iexplore.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\System32\svchost.exe

F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.asauuykogauwiuyrmznjmuqet.uk/HV...Pr13FwHHm2b.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebzfarkcsbcjvckp.us/HVJNgpHHHJP...YHY6LQ7EMKI.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [smcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [intelliType] "F:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [spySweeper] "F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [Peak Regs] F:\DOCUME~1\Yann\APPLIC~1\PROCCL~1\blue itch.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O20 - Winlogon Notify: WRNotifier - F:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Program Files\Sygate\SPF\smc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

 

 

Le rapport de Spy Sweeper :

********

0:44: | Début de session, samedi 31 décembre 2005 |

0:44: Spy Sweeper démarrée

0:44: Analyse lancée avec la version des définitions 594

0:44: Démarrage de l’analyse de la mémoire

0:46: Analyse de la mémoire terminée, temps passé : 00:01:23

0:46: Démarrage de l’analyse du Registre

0:46: Trouvé Adware: 180search assistant/zango

0:46: HKLM\software\salm\ (13 traces secondaires) (ID = 135793)

0:46: Trouvé Adware: winad

0:46: HKCR\appid\loaderx.exe\ (1 traces secondaires) (ID = 147150)

0:46: HKCR\appid\{735c5a0c-f79f-47a1-8ca1-2a2e482662a8}\ (1 traces secondaires) (ID = 147151)

0:46: HKCR\clsid\{1e5e0d38-214b-4085-ad2a-d2290e6a2d2c}\ (10 traces secondaires) (ID = 147152)

0:46: HKCR\clsid\{15ad4789-cdb4-47e1-a9da-992ee8e6bad6}\ (8 traces secondaires) (ID = 147154)

0:46: HKCR\loaderx.installer\ (5 traces secondaires) (ID = 147156)

0:46: HKCR\prevadx.installer\ (3 traces secondaires) (ID = 147161)

0:46: HKLM\software\classes\appid\loaderx.exe\ (1 traces secondaires) (ID = 147164)

0:46: HKLM\software\classes\appid\{735c5a0c-f79f-47a1-8ca1-2a2e482662a8}\ (1 traces secondaires) (ID = 147165)

0:46: HKLM\software\classes\clsid\{1e5e0d38-214b-4085-ad2a-d2290e6a2d2c}\ (10 traces secondaires) (ID = 147166)

0:46: HKLM\software\classes\clsid\{15ad4789-cdb4-47e1-a9da-992ee8e6bad6}\ (8 traces secondaires) (ID = 147168)

0:46: HKLM\software\classes\loaderx.installer\ (5 traces secondaires) (ID = 147170)

0:46: HKLM\software\classes\prevadx.installer\ (3 traces secondaires) (ID = 147175)

0:46: HKLM\software\classes\typelib\{15696ae2-6ea4-47f4-bea6-a3d32693efc7}\ (9 traces secondaires) (ID = 147176)

0:46: HKLM\software\media pass\ (6 traces secondaires) (ID = 147183)

0:46: HKCR\typelib\{15696ae2-6ea4-47f4-bea6-a3d32693efc7}\ (9 traces secondaires) (ID = 147244)

0:46: HKU\S-1-5-21-1343024091-117609710-839522115-1003\software\salm\ (19 traces secondaires) (ID = 135792)

0:46: Analyse du Registre terminée, temps passé :00:00:06

0:46: Démarrage de l’analyse des cookies

0:46: Trouvé Spy Cookie: yieldmanager cookie

0:46: yann@ad.yieldmanager[2].txt (ID = 3751)

0:46: Trouvé Spy Cookie: searchweb2 cookie

0:46: yann@searchweb2[1].txt (ID = 3325)

0:46: Trouvé Spy Cookie: xiti cookie

0:46: yann@xiti[1].txt (ID = 3717)

0:46: Trouvé Spy Cookie: zedo cookie

0:46: yann@zedo[2].txt (ID = 3762)

0:46: Analyse des cookies terminée, temps passé : 00:00:00

0:46: Démarrage de l’analyse des fichiers

0:47: Trouvé Adware: lopdotcom

0:47: vswadvyq.exe (ID = 122)

0:47: tray meow.exe (ID = 122)

0:48: drv plan up.exe (ID = 90)

0:49: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

0:49: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

0:50: thgfkflb.exe (ID = 121)

0:50: that fork save play.exe (ID = 121)

0:51: backup-20051230-233237-498.dll (ID = 91)

0:52: aim vc.exe (ID = 122)

0:52: oxhvkhjk.exe (ID = 122)

0:53: blgzstun.exe (ID = 122)

0:54: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

0:54: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

0:54: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

0:54: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

0:55: boredelete.exe (ID = 122)

0:58: Trouvé System Monitor: potentially rootkit-masked files

0:58: 1 - guitar legends from expo '92 sevilla (brian may, joe satriani, steve vai, cozy powell, nuno bettencourt, joe walsh, paul rogers.avi (ID = 0)

1:00: Avertissement: File not found

1:00: Avertissement: Unhandled Archive Type

1:01: Avertissement: File not found

1:16: Analyse des fichiers terminée, temps passé : 00:30:06

1:16: Analyse complète terminée. Durée 00:31:34

1:16: Traces trouvées : 144

1:17: Processus de suppression lancé.

1:17: Mise en quarantaine de toutes les traces : 180search assistant/zango

1:17: Mise en quarantaine de toutes les traces : lopdotcom

1:17: Mise en quarantaine de toutes les traces : potentially rootkit-masked files

1:46: potentially rootkit-masked files est en cours d'utilisation. Il sera supprimé au redémarrage.

1:46: 1 - guitar legends from expo '92 sevilla (brian may, joe satriani, steve vai, cozy powell, nuno bettencourt, joe walsh, paul rogers.avi est en cours d'utilisation. Il sera supprimé au redémarrage.

1:46: Mise en quarantaine de toutes les traces : winad

1:46: Mise en quarantaine de toutes les traces : searchweb2 cookie

1:46: Mise en quarantaine de toutes les traces : xiti cookie

1:46: Mise en quarantaine de toutes les traces : yieldmanager cookie

1:46: Mise en quarantaine de toutes les traces : zedo cookie

1:46: Préparation du redémarrage de votre ordinateur. Veuillez patienter...

1:46: Processus de suppression lancé. Durée 00:29:37

1:52: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:52: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:52: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:52: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

1:53: La Protection anti-communication d’espions a bloqué l’accès à : lop.com

********

0:43: | Début de session, samedi 31 décembre 2005 |

0:43: Spy Sweeper démarrée

0:43: Analyse lancée avec la version des définitions 594

0:43: Démarrage de l’analyse de la mémoire

0:44: Analyse annulée

0:44: Analyse de la mémoire terminée, temps passé : 00:00:24

0:44: Traces trouvées : 0

0:44: | Fin de session, samedi 31 décembre 2005 |

********

0:41: | Début de session, samedi 31 décembre 2005 |

0:41: Spy Sweeper démarrée

0:41: Le service Messenger a été désactivé.

0:41: Les définitions de logiciels espions ont été mises à jour.

0:43: | Fin de session, samedi 31 décembre 2005 |

 

 

Voilà... Si tu peux m'aider merci beaucoup !!

[megataupe]

Re. Spy Sweeper a bien bossé (comme d'habitude ).

 

Télécharge l'uninstall Lop.com

 

http://forum.hijackthis.de/attachment.php?attachmentid=407

 

Désactive temporairement ton antivirus qui risque d'aboyer

en détectant Lop.com

 

Installe le sur le Bureau

 

Lance et exécute Lop Remover

 

(ferme tous les travaux en cours car il va y avoir un redémarrage

automatique du PC

 

reposte un rapport HijackThis