[ok] Demande analyse SVP Grosse infection

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok] Demande analyse SVP Grosse infection

Messagede jodejoz » 16 Fév 2008, 20:58

Bonjour,
Sur un portable Packard Bell Easy note B3600W, je n'ai plus de connexion Internet, ni en branchement modem usb, ni en ethernet sur carte réseau; LEs paramètres de connexion sont ok, le modem en usb fonctionne.
Cet ordinateur a passé une grande période sans antivirus et autres ... une catastrophe !!
J'ai pu enlever pas mal de choses avec search and destroy (clickspring, eacceleration, everest poker, smitfraud-c, spyware secure, wild tangent, win32.BHO.je, yazzle.

J'aurais bien opté pour un formatage (c'est pas sport, mais bon ... ) mais (merci packard bell), je vois qu'il me faut un CD master (restauration que je n'ai pas et qui ne peut plus être créé à partir du disque dur ... trop de virus ... ?) ... à moins que je tente l'install avec un vrai cd de xp mais j'ai peur que ça plante définitivement (il faut soit disant faire un formatage bas niveau ... mais c'est un autre sujet ...)


Voici le log du scan, je pense qu'il y a pas mal de soucis ... merci pour votre aide :)

Logfile of HijackThis v1.99.1
Scan saved at 20:15:13, on 16/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\VM305_STI.EXE
C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
C:\WINDOWS\mrofinu1148.exe
C:\WINDOWS\system32\131C171E1C212.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\bhij.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: (no name) - {4133BBD8-1385-47B0-B7AA-286E684E3E20} - \
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {702BFAA0-B694-40A3-AA0F-F1DA7140122C} - \
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - btask.dll (file missing)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socksys.dll (file missing)
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [blue delete title meow] C:\Documents and Settings\All Users\Application Data\up hold blue delete\extra option.exe
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [EFF8F3FAF8FDFEF] 131C171E1C212.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gpl plus] C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe
O4 - HKCU\..\Run: [WintelUpdate] C:\bhij.exe
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'worsock.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - http://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8753C6BF-97E5-40BF-91EF-E353006AC07D}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Messagede ArKa » 17 Fév 2008, 01:25

Bonjour jodejoz,

Une version plus récente de HijackThis existe, pourrais-tu poster un nouveau rapport :

Remarque préliminaire:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé (par exemple: C:\HJT).



HijackThis (de TrendMicro) : http://www.trendsecure.com/portal/en-US ... nstall.exe



;-)
«Lorsque l'on se cogne la tête contre un pot et que cela sonne creux, ça n'est pas forcément le pot qui est vide.»
[ Confucius ]
Assiste vous a aidé, aidez Assiste !

Si le problème est résolu :-)
Quel comportement devez-vous adopter en tout temps?
kits de sécurité
Mises à jour des logiciels
Ma config
Avatar de l’utilisateur
ArKa
 
Messages: 162
Inscription: 10 Oct 2007, 17:31
Localisation: 50°25'5.00"N 4°31'35.00"E

Messagede nickW » 17 Fév 2008, 01:32

Bonsoir,

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



1/ Premier nettoyage:

Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: MSNFix (de !aur3n7)
Fermer toutes les applications ouvertes (il y aura peut-être redémarrage).
Télécharger MSNFix.zip depuis http://sosvirus.changelog.fr/MSNFix.zip
Enregistrer ce fichier sur le Bureau.
Décompresser la totalité de l'archive (clic droit, Extraire tout).
Ouvrir le dossier MSNFix qui vient d'être créé sur le Bureau et faire un double clic sur MSNFix.bat pour lancer l'outil.
Choisir la langue française (F suivi de Entrée)
Choisir l'option R (Rechercher) puis faire Entrée.
Si une infection est détectée (un message le signale), appuyer sur une touche pour lancer le nettoyage.

Note :
Si une erreur de suppression est détectée, un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal.


2/ Tu as utilisé une version obsolète de HijackThis.

Étape 3: HijackThis (de TrendMicro)
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Cliquer sur le bouton "Do a system scan and save a logfile"
Attendre qu'une fenêtre du Bloc-notes s'ouvre.
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom HJT1.txt.
Fermer le Bloc-notes. Fermer HijackThis.



Étape 4: Résultats
Envoyer en réponse
*- le rapport de MSNFix (contenu du fichier ********-*******.txt situé dans le dossier MSNFix, les **** représentent la date et l'heure, en chiffres)
*- le log HijackThis (contenu du fichier HJT1.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

scan hjt et msnfix

Messagede jodejoz » 17 Fév 2008, 10:40

Merci pour vos réponses, j'ai suivi vos conseils :

Étape 1:
ça, je l'avais fait, j'ai un peu étudié "la manip"

Étape 2 :
infection detectée, j'ai lancé le nettoyage, voici le rapport :
MSNFix 1.663

C:\Documents and Settings\AGNES\Bureau\MSNFix
Fix exécuté le 17/02/2008 - 10:13:02.87 By AGNES
mode normal

************************ Recherche les fichiers présents

... C:\Program Files\Insider\Insider.exe
... C:\Program Files\Insider\UnInstall.exe
... C:\bhij.exe
... C:\upaq.exe
... C:\tuwwp.exe
... C:\Program Files\Dot1XCfg\Dot1XCfg.exe
... C:\Program Files\Insider\Insider.exe
... C:\Program Files\Insider\UnInstall.exe
... C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
... C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
... C:\Documents and Settings\AGNES\??????.exe
... C:\Documents and Settings\AGNES\????????.exe
... C:\WINDOWS\17PHolmes1148.exe
... C:\WINDOWS\b???.exe
... C:\WINDOWS\b122.exe
... C:\WINDOWS\mrofinu*.exe
... C:\WINDOWS\mrofinu*.exe.tmp
... C:\WINDOWS\system32\microsoft\backup.ftp
... C:\WINDOWS\system32\microsoft\backup.tftp

************************ Recherche les dossiers présents

... C:\Program Files\Insider\
... C:\Program Files\Dot1XCfg\
... C:\Program Files\Insider\
... C:\Program Files\Temporary\




************************ Suppression des fichiers

.. OK ... C:\Program Files\Insider\Insider.exe
.. OK ... C:\Program Files\Insider\UnInstall.exe
.. OK ... C:\bhij.exe
.. OK ... C:\upaq.exe
.. OK ... C:\tuwwp.exe
.. OK ... C:\Program Files\Dot1XCfg\Dot1XCfg.exe
.. OK ... C:\Program Files\Insider\Insider.exe
.. OK ... C:\Program Files\Insider\UnInstall.exe
.. OK ... C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
.. OK ... C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
.. OK ... C:\Documents and Settings\AGNES\??????.exe
.. OK ... C:\Documents and Settings\AGNES\????????.exe
.. OK ... C:\WINDOWS\17PHolmes1148.exe
.. OK ... C:\WINDOWS\b???.exe
.. OK ... C:\WINDOWS\b122.exe
.. OK ... C:\WINDOWS\mrofinu*.exe
.. OK ... C:\WINDOWS\mrofinu*.exe.tmp
.. OK ... C:\WINDOWS\system32\microsoft\backup.ftp
.. OK ... C:\WINDOWS\system32\microsoft\backup.tftp


************************ Suppression des dossiers

.. OK ... C:\Program Files\Insider\
.. OK ... C:\Program Files\Dot1XCfg\
.. OK ... C:\Program Files\Insider\
/!\ ... C:\Program Files\Temporary\


************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier

17022008_101801.35.zip



------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END

---------------------------------------------


Etape 3 :
Avec la version de HijackThis (téléchargée sur le lien de Arka, voici le nouveau log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:44:29, on 17/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\VM305_STI.EXE
C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
C:\WINDOWS\system32\131C171E1C212.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Dot1XCfg\Dot1XCfg.exe
C:\bhij.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page =

http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -

C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} -

C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: (no name) - {4133BBD8-1385-47B0-B7AA-286E684E3E20} - \
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {702BFAA0-B694-40A3-AA0F-F1DA7140122C} - \
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program

Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live -

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN

Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program

Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program

files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN

Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton

Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - btask.dll (file missing)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socksys.dll (file

missing)
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL

Toolbar\toolbar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program

Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program

Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program

Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

files\google\googletoolbar1.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} -

C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef

/Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HdReg] C:\APPS\HDREG\HDREGAPP.EXE -r
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

/logon
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [blue delete title meow] C:\Documents and Settings\All Users\Application

Data\up hold blue delete\extra option.exe
O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\AGNES\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [EFF8F3FAF8FDFEF] 131C171E1C212.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gpl plus] C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe
O4 - HKCU\..\Run: [WintelUpdate] C:\bhij.exe
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search

2\DesktopSearchService.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE

LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE

RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default

user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program

Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer -

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows

Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program

Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} -

C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583}

- C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr

(file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'worsock.dll' missing
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -

http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -

http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) -

http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/Me ... b55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) -

http://messenger.zone.msn.com/binary/ZI ... b55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -

http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) -

http://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) -

http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY

Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program

Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Program Files\Fichiers

communs\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program

Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program

Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: FFI - Unknown owner - C:\WINDOWS\system32\svchost.exe:exm.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe (file

missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner -

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton

AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner -

C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program

Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers

communs\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program

Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 12801 bytes

**********************************************************
Infos complémentaires :
1) Windows me semble sérieusement "abimé" : par exemple, le volet assistant de recherche

est vide (juste le compagnon en bas, pas de formulaires pour préciser la recherche !), la

fenêtre comptes utilisateurs est également vide ! ...juste boutons precedent, suivant et

debut ...)

2) Je vois dans le log cette ligne :O10 - Broken Internet access because of LSP provider

'worsock.dll' missing, j'ai lancé LSP fix (vu ds la manip): colonne de gauche (keep) : 3

fichiers dll et celle de droite (remove), 1 fichier dll.
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Messagede nickW » 17 Fév 2008, 23:43

Bonsoir,


Première remarque:
Tu n'as pas fait ceci:
Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.

Pense à le faire avant d'envoyer un autre log!


Seconde remarque:
Il eût été bien plus utile que tu envoies un log HijackThis créé après l'exécution de MSNFix!


Troisième remarque:
Ton PC est infecté par un trojan "voleur de mots de passe".
Si tu te connectes par exemple à ta banque, il est très important de le lui signaler, et de demander la modification de ton mot de passe.



Nouvelles manips:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.


Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Ccleaner
Télécharger et installer Ccleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
Page de téléchargement: http://www.ccleaner.com/download/builds

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.


Étape 4: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\").


Étape 5: lopxpMH2 (de lazzzy)
Télécharger lopxpMH2 depuis http://www.alt-shift-return.org/Info/Fi ... pxpMH2.zip
Enregistrer ce fichier sur le Bureau.
Décompresser l'archive lopxpMH2.zip (sous XP, clic droit puis Extraire tout) sur le Bureau.

Dans l'Explorateur, ouvrir le dossier lopxpMH2 qui vient d'être créé sur le Bureau, puis faire un double clic sur lopxpMH2.bat pour lancer l'outil.

Une fenêtre du Bloc-notes va s'ouvrir et afficher le rapport.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom lopxpMH2-080217.txt
Fermer le Bloc-notes.


Étape 6: LSPFix (de Bill Webb)
Télécharger LSPFix depuis:
http://www.cexx.org/lspfix.zip
Décompresser l'archive dans un répertoire qui lui est réservé (par exemple C:\LSPFix)
Fermer toutes les fenêtres (pas de navigateur, Internet Explorer, Firefox, ..., ouvert)
Se déconnecter d'Internet (débrancher le câble).
Lancer le programme par un double clic sur LSPFix.exe
Cocher la case située devant "I know what I'm doing" (Je sais ce que je fais)
Sélectionner l'une après l'autre toutes les instances de worsock.dll et les faire passer de gauche à droite (de Keep vers Remove) grâce à >>
Cliquer sur le bouton "Finish"
Rétablir la connexion internet.


Étape 7: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 8: Service
Arrêter puis désactiver un service:

Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à Boonty Games
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Supprimer ce service:
Démarrer---->Exécuter
taper exactement
sc¤delete¤BOONTY
(le caractère ¤ représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (en cas d'échec).


Étape 9: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: (no name) - {4133BBD8-1385-47B0-B7AA-286E684E3E20} - \
O2 - BHO: (no name) - {702BFAA0-B694-40A3-AA0F-F1DA7140122C} - \
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Module - {E1290342-AAFF-4f7c-9F45-D665E4BF1A00} - btask.dll (file missing)
O2 - BHO: Microsoft copyright - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - socksys.dll (file missing)
O4 - HKLM\..\Run: [EFF8F3FAF8FDFEF] 131C171E1C212.exe

Fermer HijackThis.


Étape 10: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système, et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour redémarrer le PC.
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 11: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 12: Résultats
Envoyer en réponse:
*- le rapport de lopxpMH2 (contenu du fichier lopxpMH2-080217.txt)
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede jodejoz » 18 Fév 2008, 10:25

Bonjour et merci !
Je me lance ... je posterai les log, scan peut être demain ou après demain.
A plus tard
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Résultats

Messagede jodejoz » 18 Fév 2008, 20:53

Bonsoir, finalement j'ai pu faire ces manipulations ce soir (j'étais aussi très impatient de tester tout cela), voici les résultats et quelques remarques sur les étapes :

Etape 1
Rien à signaler
Etape 2
A noter que je n'ai pas pu faire la mise à jour du programme (puisque je n'ai plus de connexion). Est-ce important, y-avait-il un téléchargement d'un pack "indépendant" de mises à jour disponible ?
Etape 3
Peut être faut il ajouter dans vos instructions, que ce fichier sera executé plus tard car c'est tentant de lancer l'éxecution à ce moment là ... l'ai-je fait ... je ne sais plus ...
Etape 4
RAS
Etape 5
Voir log plus bas
Etape 6
J'ai sur la colonne de gauche (keep) : mswsock.dll, winrnr.dll et rsvpsp.dll
A droite (remove) : worsock.dll
Les instances de worsock.dll, c'est worsock.dll, c'est tout ?
J'ai laissé les 3 autres dll à gauche et j'ai appuyé sur finish.
Etape 7
RAS
Etape 8
j'ai fait la commande sc delete BOONTY par contre la fenêtre de commande de résultat s'ouvre et se referme très rapidement, impossible de voir un message.
J'ai donc refait la commande dans une fenêtre de commande (cmd) :
ça m'a donné : "[SC] OpenService FAILED 1060 : le service spécifié n'existe pas en tant que service installé".
Le service a donc bien été désinstallé la première fois ?
Par contre, dans la fenêtre services, la ligne Boonty est toujours présente, c'est normal ?
Etape 9
Cette ligne n'était pas présente :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
RAS, sinon
Etape 10
A 2 reprises (avant redémmarage et après), j'ai eu ce message (approximatif) :
C:\program ...\Symantec\S32EVNT1.DLL L'initialisation de la dll d'un pilote installé a échoué
A noter que Norton été préinstallé sur l'ordinateur et qu'il a été désinstallé (correctement, je ne suis pas sûr) depuis.
J'ai appuyé sur le bouton "ignorer" pour que le programme continue
Etape 11
Je n'ai pas eu à appuyer une seule fois sur un bouton OK ?
Le rapport maint.txt est bien ds le dossier System Scanner mais le rapport extra.txt se trouve ds un sous dossier nommé 20080218201647 ... A l'étape 3, ai-je executé dss.exe, ce qui aurait créé ces sous dossiers ... ?

LOG dans les posts suivants
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Rapport lopxpMH2

Messagede jodejoz » 18 Fév 2008, 20:58

Rapport lopxpMH2 version 2.0 fait à 19:29:38.25 le 18/02/2008
C:\Documents and Settings\AGNES\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\Administrateur\Application Data

02/04/2007 14:42 <REP> .
02/04/2007 14:42 <REP> ..
02/04/2007 14:42 <REP> Identities
02/04/2007 14:42 <REP> Microsoft
02/04/2007 14:42 <REP> Real
02/04/2007 14:42 <REP> Sun
02/04/2007 14:42 <REP> Symantec
02/04/2007 14:42 <REP> You've Got Pictures Screensaver
02/04/2007 14:42 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

02/04/2007 14:42 <REP> .
02/04/2007 14:42 <REP> ..
02/04/2007 14:42 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
02/04/2007 14:42 <REP> ApplicationHistory
02/04/2007 14:42 <REP> Microsoft
02/04/2007 14:42 <REP> Powercinema
02/04/2007 14:42 135 fusioncache.dat
02/04/2007 14:42 2 688 784 IconCache.db
2 fichier(s) 2 688 919 octets
6 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\AGNES\Application Data

25/12/2005 08:39 <REP> .
25/12/2005 08:39 <REP> ..
26/12/2005 16:16 <REP> Adobe
26/12/2005 16:16 <REP> AdobeUM
13/01/2006 21:30 <REP> ArcSoft
09/09/2006 21:59 <REP> AVG7
29/05/2006 18:49 <REP> Chessmaster Challenge
26/12/2005 20:17 <REP> CyberLink
11/12/2007 13:38 <REP> dvdcss
26/12/2005 14:00 <REP> Help
25/07/2006 14:28 <REP> Hulabee
25/12/2005 08:39 <REP> Identities
26/12/2005 15:47 <REP> Leadertech
13/10/2007 17:48 <REP> LimeWire
26/12/2005 22:41 <REP> Macromedia
25/12/2005 08:39 <REP> Microsoft
11/03/2007 19:04 <REP> Moveantibarb
15/02/2008 20:36 <REP> Mozilla
29/12/2005 22:51 <REP> MSNInstaller
12/01/2006 22:03 <REP> Nikon
02/07/2006 19:45 <REP> PlayFirst
25/12/2005 08:39 <REP> Real
26/12/2005 15:47 <REP> Sonic
25/12/2005 08:39 <REP> Sun
25/12/2005 08:39 <REP> Symantec
25/09/2006 19:01 <REP> UNBALANCE
11/12/2007 14:07 <REP> vlc
25/12/2005 08:39 <REP> You've Got Pictures Screensaver
25/12/2005 08:39 62 desktop.ini
1 fichier(s) 62 octets
28 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\AGNES\Local Settings\Application Data

25/12/2005 08:39 <REP> .
25/12/2005 08:39 <REP> ..
25/12/2005 08:39 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
26/12/2005 16:16 <REP> Adobe
25/12/2005 08:39 <REP> ApplicationHistory
26/01/2007 18:34 <REP> AquaNox2
15/02/2008 20:43 <REP> Copernic
29/03/2007 21:15 <REP> Google
26/12/2005 14:00 <REP> Help
26/12/2005 15:41 <REP> Identities
23/03/2007 21:24 <REP> IM
25/12/2005 08:39 <REP> Microsoft
21/01/2006 23:32 <REP> MicroVision Applications
15/02/2008 20:36 <REP> Mozilla
16/03/2007 19:44 <REP> PCHealth
13/01/2006 21:41 <REP> Pixology
25/12/2005 08:39 <REP> Powercinema
13/10/2007 19:06 <REP> Shareaza
22/01/2007 20:44 <REP> WMTools Downloaded Files
22/02/2006 22:39 35 840 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
25/12/2005 08:39 128 fusioncache.dat
29/04/2006 21:07 67 640 GDIPFONTCACHEV1.DAT
25/12/2005 08:39 2 264 700 IconCache.db
4 fichier(s) 2 368 308 octets
19 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\All Users\Application Data

16/08/2004 16:54 <REP> .
16/08/2004 16:54 <REP> ..
17/09/2005 08:34 <REP> Adobe
17/09/2005 08:35 <REP> AOL
09/09/2006 21:58 <REP> avg7
16/02/2007 15:01 <REP> Bluetooth
25/05/2006 20:06 <REP> BOONTY
11/03/2007 19:04 <REP> Burn way balm date
16/03/2006 19:45 <REP> CanonBJ
29/03/2007 21:14 <REP> Google
25/05/2006 20:06 <REP> Macrovision
11/03/2007 19:04 <REP> Messenger Plus!
16/08/2004 16:54 <REP> Microsoft
02/07/2006 19:45 <REP> PlayFirst
17/09/2005 08:36 <REP> QuickTime
26/09/2006 20:03 <REP> Sandlot Games
16/08/2004 17:28 <REP> SBSI
16/02/2008 18:30 <REP> Spybot - Search & Destroy
17/09/2005 08:38 <REP> Symantec
17/12/2007 10:39 <REP> up hold blue delete
17/09/2005 08:36 <REP> Viewpoint
10/09/2006 20:35 <REP> Windows Genuine Advantage
12/10/2007 18:39 <REP> WLInstaller
16/08/2004 16:55 62 desktop.ini
1 fichier(s) 62 octets
23 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\Default User\Application Data

16/08/2004 16:54 <REP> .
16/08/2004 16:54 <REP> ..
25/12/2005 08:38 <REP> Identities
16/08/2004 16:54 <REP> Microsoft
25/12/2005 08:38 <REP> Real
25/12/2005 08:38 <REP> Sun
25/12/2005 08:38 <REP> Symantec
25/12/2005 08:38 <REP> You've Got Pictures Screensaver
16/08/2004 16:54 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

16/08/2004 16:55 <REP> .
16/08/2004 16:55 <REP> ..
25/12/2005 08:38 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
25/12/2005 08:38 <REP> ApplicationHistory
16/08/2004 17:10 <REP> Microsoft
25/12/2005 08:38 <REP> Powercinema
25/12/2005 08:38 135 fusioncache.dat
25/12/2005 08:38 2 688 784 IconCache.db
2 fichier(s) 2 688 919 octets
6 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\LocalService\Application Data

16/08/2004 17:18 <REP> .
16/08/2004 17:18 <REP> ..
09/09/2006 21:58 <REP> AVG7
16/08/2004 17:18 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

16/08/2004 17:18 <REP> .
16/08/2004 17:18 <REP> ..
16/08/2004 17:18 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\NetworkService\Application Data

16/08/2004 17:18 <REP> .
16/08/2004 17:18 <REP> ..
12/10/2007 19:07 <REP> Identities
16/08/2004 17:18 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

16/08/2004 17:18 <REP> .
16/08/2004 17:18 <REP> ..
12/10/2007 19:07 <REP> Identities
16/08/2004 17:18 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\Propriétaire\Application Data

02/02/2006 10:46 <REP> .
02/02/2006 10:46 <REP> ..
02/02/2006 10:46 <REP> You've Got Pictures Screensaver
0 fichier(s) 0 octets
3 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\vincent\Application Data

29/05/2006 19:45 <REP> .
29/05/2006 19:45 <REP> ..
27/08/2006 11:07 <REP> CyberLink
15/02/2008 21:14 <REP> Google
29/05/2006 19:45 <REP> Identities
24/09/2006 18:45 <REP> Leadertech
29/05/2006 19:45 <REP> Microsoft
15/02/2008 21:18 <REP> Moveantibarb
15/02/2008 21:14 <REP> Mozilla
29/05/2006 19:45 <REP> Real
24/09/2006 18:45 <REP> Sonic
29/05/2006 19:45 <REP> Sun
29/05/2006 19:45 <REP> Symantec
29/05/2006 19:45 <REP> You've Got Pictures Screensaver
29/05/2006 19:46 62 desktop.ini
1 fichier(s) 62 octets
14 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Documents and Settings\vincent\Local Settings\Application Data

29/05/2006 19:45 <REP> .
29/05/2006 19:45 <REP> ..
29/05/2006 19:45 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
29/05/2006 19:45 <REP> ApplicationHistory
15/02/2008 21:14 <REP> Copernic
15/02/2008 21:14 <REP> Google
15/02/2008 21:16 <REP> Identities
29/05/2006 19:45 <REP> Microsoft
15/02/2008 21:14 <REP> Mozilla
15/02/2008 21:16 <REP> Pixology
29/05/2006 19:45 <REP> Powercinema
29/05/2006 19:45 135 fusioncache.dat
29/05/2006 19:45 2 000 928 IconCache.db
2 fichier(s) 2 001 063 octets
11 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

16/08/2004 17:16 <REP> .
16/08/2004 17:16 <REP> ..
25/12/2005 08:38 <REP> Identities
16/08/2004 17:16 <REP> Microsoft
25/12/2005 08:38 <REP> Real
25/12/2005 08:38 <REP> Sun
25/12/2005 08:38 <REP> Symantec
25/12/2005 08:38 <REP> You've Got Pictures Screensaver
16/08/2004 17:16 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 30 315 630 592 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

16/08/2004 17:16 <REP> .
16/08/2004 17:16 <REP> ..
25/12/2005 08:38 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142050}
25/12/2005 08:38 <REP> ApplicationHistory
16/08/2004 17:16 <REP> Microsoft
25/12/2005 08:38 <REP> Powercinema
12/10/2007 18:40 <REP> WindowsLiveInstaller
25/12/2005 08:38 135 fusioncache.dat
25/12/2005 08:38 2 688 784 IconCache.db
2 fichier(s) 2 688 919 octets
7 Rép(s) 30 315 630 592 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\A523B02291882952.job
s  "€!Ø 
7 c : \ d o c u m e ~ 1 \ a g n e s \ a p p l i c ~ 1 \ m o v e a n ~ 1 \ n u r b s k i p c o m p . e x e  A G N E S   0 Î   <  

C:\WINDOWS\Tasks\Symantec
Symantec inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 04C6-38FE

Répertoire de C:\Program Files

17/02/2008 10:16 <REP> .
17/02/2008 10:16 <REP> ..
17/09/2005 08:34 <REP> Adobe
02/04/2007 15:15 <REP> Alwil Software
17/09/2005 08:21 <REP> AMD
25/01/2006 19:47 <REP> AOL 9.0
17/09/2005 08:36 <REP> AOL Compagnon
02/01/2006 14:33 <REP> AOL Toolbar
26/01/2008 22:59 <REP> a-squared Free
23/04/2007 21:20 <REP> BoontyGames
16/03/2006 19:48 <REP> Canon
16/02/2008 18:23 <REP> CCleaner
17/12/2007 10:38 <REP> Circle Developement
16/08/2004 17:05 <REP> ComPlus Applications
15/02/2008 20:42 <REP> Copernic Desktop Search 2
11/02/2008 13:51 <REP> Cours de langue pratique
17/09/2005 08:41 <REP> CyberLink
26/01/2007 18:58 <REP> directx
11/12/2007 11:30 <REP> EA Sports
15/01/2008 19:18 <REP> eAcceleration
31/08/2006 10:35 <REP> Eidos Interactive
11/02/2008 12:02 <REP> Empire Interactive
02/12/2007 11:32 <REP> eMule
16/02/2008 20:00 <REP> Fichiers communs
22/12/2007 20:29 <REP> Google
16/02/2008 20:00 <REP> Helper
17/02/2008 09:43 <REP> Hijackthis Version Française
23/04/2007 21:14 <REP> IncrediMail
11/02/2008 11:47 <REP> Infogrames
16/12/2007 01:26 <REP> Internet Explorer
16/02/2007 14:53 <REP> IVT Corporation
22/12/2007 20:44 <REP> Java
11/12/2007 11:26 <REP> JoWooD
27/03/2006 20:04 <REP> Laureats
17/09/2005 08:36 <REP> Learn2.com
26/01/2008 23:36 <REP> LimeWire
07/01/2006 12:43 <REP> LucasArts
13/08/2007 22:40 <REP> Macrogaming
28/03/2007 17:13 <REP> Maxis
27/01/2008 19:34 <REP> Mes Jeux Téléchargés
16/08/2004 17:03 <REP> Messenger
25/07/2007 10:33 <REP> Messenger Plus! Live
27/08/2007 18:21 <REP> Micro Application
11/12/2007 11:38 <REP> Microsoft Encarta
16/08/2004 17:11 <REP> microsoft frontpage
14/05/2006 15:12 <REP> Microsoft Office
12/10/2007 19:07 <REP> Microsoft SQL Server Compact Edition
05/01/2008 18:29 <REP> Montparnasse Multimedia
15/01/2008 19:20 <REP> Moveantibarb
16/08/2004 17:06 <REP> Movie Maker
16/02/2008 20:17 <REP> Mozilla Firefox
22/03/2006 18:37 <REP> MSN
19/03/2006 19:06 <REP> MSN Apps
16/08/2004 17:03 <REP> MSN Gaming Zone
19/11/2006 17:50 <REP> MSXML 4.0
16/08/2004 17:06 <REP> NetMeeting
12/01/2006 22:03 <REP> Nikon
02/04/2007 14:53 <REP> Norton Internet Security
16/08/2004 17:03 <REP> Online Services
26/01/2008 23:46 <REP> Outlook Express
12/01/2006 22:01 <REP> QuickTime
17/09/2005 08:36 <REP> Real
16/08/2004 17:07 <REP> Services en ligne
17/09/2005 08:46 <REP> Sonic
11/12/2007 11:30 <REP> SouthPeak Interactive
16/02/2008 18:30 <REP> Spybot - Search & Destroy
17/09/2005 08:13 <REP> Synaptics
19/01/2008 20:13 <REP> Temporary
26/12/2005 13:57 <REP> Thomson
17/02/2008 09:44 <REP> Trend Micro
19/02/2006 11:04 <REP> Ubisoft
11/12/2007 13:37 <REP> VideoLAN
17/09/2005 08:36 <REP> Viewpoint
06/01/2007 15:19 <REP> Vimicro
15/02/2008 18:01 <REP> Wanadoo
27/01/2008 18:26 <REP> Wanadoo Messager
26/05/2006 13:39 <REP> WildTangent
12/10/2007 19:07 <REP> Windows Desktop Search
28/11/2007 22:53 <REP> Windows Live
22/01/2007 19:29 <REP> Windows Live Safety Center
20/03/2007 20:23 <REP> Windows Media Connect 2
15/02/2008 21:12 <REP> Windows Media Player
16/08/2004 17:03 <REP> Windows NT
16/08/2004 17:11 <REP> xerox
16/02/2008 20:24 <REP> xp-AntiSpy
0 fichier(s) 0 octets
85 Rép(s) 30 315 634 688 octets libres

******************************************
## Popups autorisées

* Internet Explorer

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.wanadoo.fr/go/page_recherche/

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
gpl plus REG_SZ C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\blue delete title meow]
command REG_SZ C:\Documents and Settings\All Users\Application Data\up hold blue delete\extra option.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gpl plus]
command REG_SZ C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Messagede jodejoz » 18 Fév 2008, 21:00

RAPPORT Sdfix


SDFix: Version 1.143

Run by AGNES on 18/02/2008 at 20:01

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services:

Name:
astq
FFI
ldrsvc

Path:
\??\C:\WINDOWS\system32\drivers\astq.tga
C:\WINDOWS\system32\svchost.exe:exm.exe
%SystemRoot%\System32\svchost.exe -k netsvcs

astq - Deleted
FFI - Deleted
ldrsvc - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Checking Files:

Trojan Files Found:

C:\80099582 - Deleted
C:\Program Files\Temporary\kernInst.exe - Deleted
C:\WINDOWS\system32\adult.txt - Deleted
C:\WINDOWS\system32\btask.dll - Deleted
C:\WINDOWS\system32\cmds.txt - Deleted
C:\WINDOWS\system32\conf.dat - Deleted
C:\WINDOWS\system32\finance.txt - Deleted
C:\WINDOWS\system32\lt.res - Deleted
C:\WINDOWS\system32\other.txt - Deleted
C:\WINDOWS\system32\pharma.txt - Deleted
C:\WINDOWS\system32\ps1.dat - Deleted
C:\WINDOWS\system32\rc.dat - Deleted
C:\WINDOWS\system32\sft.res - Deleted
C:\WINDOWS\system32\socksys.dll - Deleted
C:\WINDOWS\system32\drivers\astq.tga - Deleted



Folder C:\Program Files\Helper - Removed
Folder C:\Program Files\Temporary - Removed
Folder C:\Program Files\Fichiers communs\Carlson - Removed


Removing Temp Files...

ADS Check:


C:\WINDOWS\system32\svchost.exe
: ADS Found!
svchost.exe: deleted 27648 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-18 20:09:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 34


Remaining Services:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost"
"C:\\DOCUME~1\\AGNES\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\AGNES\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Player2"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files:


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 17 Sep 2005 215 A.SHR --- "C:\BOOT.BAK"
Mon 28 Jun 2004 54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Mon 28 Jun 2004 156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Mon 28 Jun 2004 31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Wed 24 Jan 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 11 Dec 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 21 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 28 Jun 2004 106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"

Finished!

[/b]
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Messagede jodejoz » 18 Fév 2008, 21:01

RAPPORT MAIN.TXT
Deckard's System Scanner v20071014.68
Run by AGNES on 2008-02-18 20:17:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Total Physical Memory: 448 MiB (512 MiB recommended).


-- HijackThis (run as AGNES.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:51, on 18/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\AGNES\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\AGNES.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [rbfrezl] c:\windows\system32\rbfrezl.exe rbfrezl
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gpl plus] C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E1AF091A-9F23-4059-89D7-C05EE073285D} (Canal+ Active MSWAY) - http://www.canalplay.com/cabs/msway44.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 10108 bytes

-- Files created between 2008-01-18 and 2008-02-18 -----------------------------

2008-02-18 19:58:32 0 d-------- C:\WINDOWS\ERUNT
2008-02-18 19:35:50 0 d-------- C:\lspfix
2008-02-18 19:35:01 0 d------c- C:\LSPFix-source
2008-02-18 19:22:38 0 dr-h----- C:\Documents and Settings\AGNES\Recent
2008-02-17 09:44:14 0 d-------- C:\Program Files\Trend Micro
2008-02-16 21:08:03 0 d------c- C:\log
2008-02-16 20:24:29 0 d-------- C:\Program Files\xp-AntiSpy
2008-02-16 20:14:50 0 d-------- C:\Program Files\Hijackthis Version Française
2008-02-16 18:30:35 0 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-16 18:23:41 0 d-------- C:\Program Files\CCleaner
2008-02-15 21:18:50 0 d-------- C:\Documents and Settings\vincent\Application Data\Moveantibarb
2008-02-15 21:14:40 0 d-------- C:\Documents and Settings\vincent\Application Data\Mozilla
2008-02-15 21:14:16 0 d-------- C:\Documents and Settings\vincent\Application Data\Google
2008-02-15 20:42:29 0 d-------- C:\Program Files\Copernic Desktop Search 2
2008-02-15 20:36:39 0 d-------- C:\Documents and Settings\AGNES\Application Data\Mozilla
2008-02-11 13:52:42 0 d-------- C:\WINDOWS\A5W_DATA
2008-02-11 13:51:04 0 d-------- C:\Program Files\Cours de langue pratique
2008-02-11 13:51:03 368912 --a------ C:\WINDOWS\system32\VBAR332.DLL <Not>
2008-02-11 13:51:03 415504 --a------ C:\WINDOWS\system32\msrepl35.dll <Not>
2008-02-11 13:51:03 252176 --a------ C:\WINDOWS\system32\MSRD2X35.DLL <Not>
2008-02-11 13:51:03 24848 --a------ C:\WINDOWS\system32\MSJTER35.DLL <Not>
2008-02-11 13:51:03 123664 --a------ C:\WINDOWS\system32\MSJINT35.DLL <Not>
2008-02-11 13:51:03 182784 --a------ C:\WINDOWS\system32\DDAO35.DLL <Not>
2008-02-11 13:51:02 1046288 --a------ C:\WINDOWS\system32\MSJET35.DLL <Not>
2008-02-11 11:47:23 0 d-------- C:\Program Files\Infogrames
2008-02-11 11:41:15 0 d------c- C:\Lucky Luke (D)
2008-01-27 18:26:56 32768 --a------ C:\WINDOWS\system32\ffJmpWeb.dll <Not>
2008-01-27 18:26:54 0 d-------- C:\Program Files\Wanadoo Messager
2008-01-19 21:01:45 0 d-------- C:\WINDOWS\system32\010A050C0A0F1
2008-01-19 21:01:38 120832 --a------ C:\WINDOWS\system32\131C171E1C212.exe <Not>


-- Find3M Report ---------------------------------------------------------------

2008-02-18 20:09:01 0 d-------- C:\Program Files\Fichiers communs
2008-02-15 20:54:04 60014 --a------ C:\WINDOWS\system32\perfh00C.dat
2008-02-15 20:54:04 7570 --a------ C:\WINDOWS\system32\perfc00C.dat
2008-02-15 18:01:57 0 d-------- C:\Program Files\Wanadoo
2008-02-11 12:02:10 0 d--h----- C:\Program Files\InstallShield Installation Information
2008-02-11 12:02:10 0 d-------- C:\Program Files\Empire Interactive
2008-02-11 11:45:18 0 d-------- C:\Documents and Settings\AGNES\Application Data\dvdcss
2008-01-27 19:34:22 0 d-------- C:\Program Files\Mes Jeux Téléchargés
2008-01-26 23:36:29 0 d-------- C:\Program Files\LimeWire
2008-01-26 22:59:45 0 d-------- C:\Program Files\a-squared Free
2008-01-26 22:52:08 0 d-------- C:\Documents and Settings\AGNES\Application Data\Moveantibarb
2008-01-15 19:20:53 0 d-------- C:\Program Files\Moveantibarb
2008-01-15 19:18:37 0 d-------- C:\Program Files\eAcceleration
2008-01-12 15:53:39 0 d-------- C:\Documents and Settings\AGNES\Application Data\LimeWire
2008-01-05 18:29:28 0 d-------- C:\Program Files\Montparnasse Multimedia
2007-12-22 20:44:49 0 d-------- C:\Program Files\Java
2007-12-22 20:29:10 0 d-------- C:\Program Files\Google


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"= C:\WINDOWS\system32\pbfrv2.dll [ ]

[-HKEY_CLASSES_ROOT\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[HKEY_CLASSES_ROOT\pbfrv2.PBFRV2]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [05/08/2004 13:00]
"rbfrezl"="c:\windows\system32\rbfrezl.exe" [15/01/2008 19:17]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [05/08/2004 13:00]
"gpl plus"="C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe" [15/01/2008 19:20]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDog305]
C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\blue delete title meow]
C:\Documents and Settings\All Users\Application Data\up hold blue delete\extra option.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copernic Desktop Search 2]
"C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EFF8F3FAF8FDFEF]
131C171E1C212.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gpl plus]
C:\DOCUME~1\AGNES\APPLIC~1\MOVEAN~1\CREATIVE ADMIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]
C:\APPS\HDREG\HDREGAPP.EXE -r

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\messengerskinner]
C:\Program Files\MessengerSkinner\MessengerSkinner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"c:\Apps\Powercinema\PCMService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rbfrezl]
c:\windows\system32\rbfrezl.exe rbfrezl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftwareStation]
"C:\Program Files\eAcceleration\Station\station.exe" /b Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics]
"C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
C:\Program Files\Norton Internet Security\UrlLstCk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
VTtrayp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
C:\PROGRA~1\Wanadoo\CnxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
C:\PROGRA~1\Wanadoo\Watch.exe




-- End of Deckard's System Scanner: finished at 2008-02-18 20:18:16 ------------
jodejoz
 
Messages: 41
Inscription: 25 Mai 2007, 13:18

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 32 invités