[OK] Lop.com

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Lop.com

Messagede Christob » 05 Juin 2008, 11:01

Bonjour,

C'est depuis le portable de ma fille que je vous contacte.

Son computer c'est ralenti et de nombreuses pages internet vides et publicitaires ainsi que des pages Lop.com s'ouvrent régulièrement.

Sa configuration: XP Home SP2 - Antivir - AVG Antispyware - Spybot - ZoneAlarm PareFeu - CCleaner, Hijack This.

J'ai repéré dans sa liste de programmes: MessengerPlus!Live&Sponsor(CID)

J'ai scanné le computer avec tous les outils que j'ai cité plus haut:

ANTIVIR a détecté et mis en quarantaine plusieurs fichiers musique mp3 contenant le Trojan horse TR/Dldr.WMA.Wimad.N

Je vous joins le rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:00:10, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROTECTION\Hijack This\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Chris\APPLIC~1\METAGR~1\LITEBI~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\PROTECTION\SpoofStick\SPOOFSTICK\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\PROTECTION\SpoofStick\SPOOFSTICK\SpoofStick.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://fr8l.hpwis.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{B90A07B9-8381-4498-BC52-C865C10ED7EC}: NameServer = 125.22.47.125,202.56.250.5,202.56.230.5
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7604 bytes


Pouvez vous m'aider.

A+
Christob
A+
Christob
 
Messages: 91
Inscription: 29 Nov 2005, 19:48
Localisation: INDE

Messagede nickW » 05 Juin 2008, 17:42

Bonjour,

Tiens!
Des adresses de serveurs DNS en Inde!
Est-ce voulu?



Peux-tu générer puis envoyer un autre rapport:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Lop S&D (de Angeldark et Eric71), option 1: Recherche
Télécharger Lop S&D via un clic droit sur le lien: http://eric.71.mespages.googlepages.com/LopSD.exe


Étape 2: Désactivation des programmes de sécurité résidents
Désactiver les programmes de protection résidents ( Antivirus , Anti-Spyware, Surveillance du Registre ... ).


Étape 3: Lop S&D (de Angeldark et Eric71), option 1: Recherche
Faire un double clic sur LopSD.exe pour lancer l'installation de l'outil.
(cliquer sur le bouton "Suivant"; Lire le contrat de licence, cocher le bouton-radio "Je suis d'accord avec les termes et conditions ci-dessus", cliquer sur le bouton "Suivant"; cliquer sur le bouton "Oui" pour créer le répertoire d'installation; cliquer sur le bouton "Démarrer" pour lancer l'installation).

Faire un double clic sur le raccourci Lop S&D qui vient d'être créé sur le Bureau pour lancer l'outil.
Choisir la langue en tapant F puis en appuyant sur Entrée.

Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
Lorsque la recherche est terminée, une fenêtre du Bloc-notes s'ouvre et affiche le rapport (alias log).

Fermer le Bloc-notes, ce qui termine l'exécution de l'outil.

Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.


Étape 4: Réactivation des programmes de sécurité résidents
Réactiver les programmes de protection résidents ( Antivirus , ... ).


Étape 5: Résultats
Envoyer en réponse:
*- le rapport de Lop S&D (contenu du fichier SystemDrive\lopR.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- un nouveau log HijackThis.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Christob » 05 Juin 2008, 21:09

Bonsoir et merci nickW pour ton aide.

Tu trouveras ci-dessous les deux rapports que m' as demandé.



-----------------------[ Lop S&D 4.2.1-2 XP/Vista ]---------------------

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : Chris ] [ "C:\Lop SD" ] [ Selection : 1 ]
[ 05/06/2008 | 22:41:05,07 ] [ PC : CHRISTOP-EBN57L ]
[ MAJ : 01-06-2008 | 15:51 ]

-------------[ Listing des dossiers dans Application Data ]------------

[15/02/2007|17:08] C:\DOCUME~1\ADMINI~1\APPLIC~1\desktop.ini
[15/02/2007|17:17] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[01/06/2008|09:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1\4 Curb Loud Idol
[23/03/2008|15:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\addr_file.html
[08/03/2007|14:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[18/11/2007|21:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[10/06/2007|12:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[23/03/2008|15:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[15/02/2007|17:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[03/02/2008|11:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[13/12/2007|20:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Installations
[18/08/2007|17:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
[14/01/2008|20:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
[25/05/2008|19:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[01/03/2008|22:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[28/01/2008|19:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QTSBandwidthCache
[10/02/2008|12:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[11/05/2008|21:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[25/02/2007|18:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[01/03/2008|22:23] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[08/03/2007|14:20] C:\DOCUME~1\Chris\APPLIC~1\Adobe
[06/07/2007|10:18] C:\DOCUME~1\Chris\APPLIC~1\Apple Computer
[15/02/2007|17:08] C:\DOCUME~1\Chris\APPLIC~1\desktop.ini
[03/02/2008|11:36] C:\DOCUME~1\Chris\APPLIC~1\Grisoft
[15/02/2007|17:24] C:\DOCUME~1\Chris\APPLIC~1\Identities
[15/02/2007|18:40] C:\DOCUME~1\Chris\APPLIC~1\InterVideo
[01/06/2008|14:09] C:\DOCUME~1\Chris\APPLIC~1\LimeWire
[17/03/2008|12:24] C:\DOCUME~1\Chris\APPLIC~1\Macromedia
[19/08/2007|17:53] C:\DOCUME~1\Chris\APPLIC~1\Media Player Classic
[01/06/2008|09:42] C:\DOCUME~1\Chris\APPLIC~1\meta grid two
[18/08/2007|17:56] C:\DOCUME~1\Chris\APPLIC~1\Microsoft
[15/02/2007|18:29] C:\DOCUME~1\Chris\APPLIC~1\Sun

[15/02/2007|17:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[15/02/2007|17:17] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[14/05/2008|18:24] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
[14/05/2008|18:35] C:\DOCUME~1\LOCALS~1\APPLIC~1\meta grid two
[14/05/2008|21:24] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[15/02/2007|17:17] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

----------------[ Tâches planifiées dans C:\WINDOWS\tasks ]---------------

[05/06/2008 15:00][--ah-----] C:\WINDOWS\tasks\AFA1A31091925494.job
[01/06/2008 16:00][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[05/06/2008 22:27][--ah-----] C:\WINDOWS\tasks\SA.DAT
[25/04/2003 00:30][-r-h-----] C:\WINDOWS\tasks\desktop.ini

AFA1A31091925494.job <--> c:\docume~1\chris\applic~1\metagr~1\Planseeksite.exe

---------------[ Listing des dossiers dans C:\Program Files ]--------------

[08/03/2007|14:19] C:\Program Files\Adobe
[15/02/2007|18:03] C:\Program Files\Analog Devices
[15/03/2008|21:57] C:\Program Files\Apoint2K
[18/11/2007|21:35] C:\Program Files\Apple Software Update
[15/02/2007|18:17] C:\Program Files\ATI Technologies
[23/03/2008|15:24] C:\Program Files\Avira
[24/02/2008|20:59] C:\Program Files\CCleaner
[12/05/2008|20:38] C:\Program Files\Circle Developement
[15/02/2007|17:14] C:\Program Files\ComPlus Applications
[16/02/2007|00:26] C:\Program Files\EA GAMES
[01/03/2008|22:23] C:\Program Files\Fichiers communs
[03/02/2008|11:35] C:\Program Files\Grisoft
[15/02/2007|18:28] C:\Program Files\HPQ
[29/06/2007|12:31] C:\Program Files\InstallShield Installation Information
[12/05/2008|00:14] C:\Program Files\Internet Explorer
[15/02/2007|18:34] C:\Program Files\InterVideo
[18/11/2007|21:40] C:\Program Files\iPod
[18/11/2007|21:40] C:\Program Files\iTunes
[13/10/2007|18:20] C:\Program Files\Java
[19/08/2007|17:39] C:\Program Files\K-Lite Codec Pack
[25/02/2007|01:22] C:\Program Files\LGUsbConverterDriver
[30/05/2008|20:23] C:\Program Files\LimeWire
[18/08/2007|17:54] C:\Program Files\Logitech
[15/03/2008|21:57] C:\Program Files\Messenger
[12/05/2008|20:38] C:\Program Files\Messenger Plus! Live
[01/06/2008|09:36] C:\Program Files\meta grid two
[02/03/2008|14:06] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[15/02/2007|17:18] C:\Program Files\microsoft frontpage
[15/03/2008|21:57] C:\Program Files\Movie Maker
[15/02/2007|17:14] C:\Program Files\MSN
[15/02/2007|17:14] C:\Program Files\MSN Gaming Zone
[18/08/2007|23:21] C:\Program Files\MSXML 4.0
[29/06/2007|12:31] C:\Program Files\NETGEAR
[15/02/2007|19:00] C:\Program Files\NetMeeting
[17/06/2007|10:55] C:\Program Files\Outlook Express
[18/11/2007|21:38] C:\Program Files\QuickTime
[25/02/2007|01:30] C:\Program Files\RConnect
[15/02/2007|17:16] C:\Program Files\Services en ligne
[10/02/2008|12:16] C:\Program Files\Spybot - Search & Destroy
[11/05/2008|21:19] C:\Program Files\SpywareBlaster
[15/02/2007|17:24] C:\Program Files\Uninstall Information
[15/02/2007|18:04] C:\Program Files\WIDCOMM
[01/03/2008|22:42] C:\Program Files\Windows Live
[15/03/2008|21:57] C:\Program Files\Windows Media Connect 2
[15/03/2008|21:57] C:\Program Files\Windows Media Player
[15/02/2007|19:00] C:\Program Files\Windows NT
[15/02/2007|17:14] C:\Program Files\WindowsUpdate
[03/03/2007|17:14] C:\Program Files\WinRAR
[15/02/2007|17:18] C:\Program Files\xerox
[18/02/2007|15:56] C:\Program Files\Zone Labs

------[ Listing des dossiers dans C:\Program Files\Fichiers communs ]------

[08/03/2007|14:19] C:\Program Files\Fichiers communs\Adobe
[18/11/2007|21:34] C:\Program Files\Fichiers communs\Apple
[15/02/2007|18:10] C:\Program Files\Fichiers communs\InstallShield
[15/02/2007|18:28] C:\Program Files\Fichiers communs\Java
[18/08/2007|17:54] C:\Program Files\Fichiers communs\Logishrd
[18/08/2007|17:56] C:\Program Files\Fichiers communs\Logitech
[04/03/2007|20:19] C:\Program Files\Fichiers communs\Microsoft Shared
[15/02/2007|17:15] C:\Program Files\Fichiers communs\MSSoap
[15/02/2007|17:08] C:\Program Files\Fichiers communs\ODBC
[15/02/2007|17:15] C:\Program Files\Fichiers communs\Services
[15/02/2007|17:08] C:\Program Files\Fichiers communs\SpeechEngines
[17/06/2007|10:55] C:\Program Files\Fichiers communs\System
[01/03/2008|22:41] C:\Program Files\Fichiers communs\WindowsLiveInstaller

---------------------------[ Process ]--------------------------

... 40

iexplore.exe ~ [3736]

----------------------[ Recherche avec S_Lop ]---------------------

C:\DOCUME~1\Chris\LOCALS~1\Temp\bisF.exe

-----------------[ Recherche de Fichiers / Dossiers Lop ]-----------------

C:\DOCUME~1\Chris\APPLIC~1\metagr~1
C:\DOCUME~1\Chris\APPLIC~1\metagr~1\FilmEqToolInternet.exe
C:\DOCUME~1\Chris\APPLIC~1\metagr~1\jmxdqegt.exe
C:\DOCUME~1\Chris\APPLIC~1\metagr~1\klqotkva.exe
C:\DOCUME~1\Chris\APPLIC~1\metagr~1\LiteBindTrust.exe
C:\DOCUME~1\Chris\APPLIC~1\metagr~1\nmslhbma.exe
C:\DOCUME~1\Chris\APPLIC~1\metagr~1\Plan seek site.exe
C:\DOCUME~1\LOCALS~1\APPLIC~1\metagr~1
C:\DOCUME~1\LOCALS~1\APPLIC~1\metagr~1\LiteBindTrust.exe
C:\Program Files\metagr~1
C:\Program Files\Circle Developement
C:\Program Files\Circle Developement\Uninstall.exe
C:\WINDOWS\Prefetch\LITEBINDTRUST.EXE-29637CD1.pf
C:\WINDOWS\Prefetch\LITEBINDTRUST.EXE-314058F9.pf
C:\WINDOWS\Prefetch\PLAN SEEK SITE.EXE-0FA4562D.pf
C:\WINDOWS\Tasks\AFA1A31091925494.job

----------------------[ Verification du Registre ]----------------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------[ Verification du fichier Hosts ]---------------------

Fichier Hosts PROPRE


----------------[ Recherche de fichiers avec Catchme ]-----------------

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 22:42:55
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------[ Recherche d'autres infections ]---------------------


Aucune autre infection trouvée !

[F:283][D:12]-> C:\DOCUME~1\Chris\LOCALS~1\Temp
[F:20][D:0]-> C:\DOCUME~1\Chris\Cookies
[F:128][D:4]-> C:\DOCUME~1\Chris\LOCALS~1\TEMPOR~1\content.IE5

--------------------[ Fin du rapport a 22:43:52,01 ]----------------------









Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:48:24, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\PROTECTION\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\PROTECTION\SpoofStick\SPOOFSTICK\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\PROTECTION\SpoofStick\SPOOFSTICK\SpoofStick.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://fr8l.hpwis.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{B90A07B9-8381-4498-BC52-C865C10ED7EC}: NameServer = 125.22.47.125,202.56.250.5,202.56.230.5
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7246 bytes


A+
Christob
Christob
 
Messages: 91
Inscription: 29 Nov 2005, 19:48
Localisation: INDE

Messagede nickW » 06 Juin 2008, 00:16

Re-

Question restée sans réponse:

Tiens!
Des adresses de serveurs DNS en Inde!
Est-ce voulu?



Nettoyage:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)

Étape 1: Création du fichier remlopjob.bat
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans le Bloc-notes (alias Notepad).
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom de remlopjob.bat
Attention: l'extension doit être .bat , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .bat.txt, renommer le fichier en .bat
Code: Tout sélectionner
%systemdrive%
cd %SystemDrive%\WINDOWS\Tasks
attrib -r -s -h AFA1A31091925494.job
del AFA1A31091925494.job



Étape 2: Création du fichier tuer-lop.reg
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans le Bloc-notes (alias Notepad).
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer le fichier sous le nom de tuer-lop.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"searchweb2.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-
"www.searchweb2.com"=-
"lop.com"=-
"www.lop.com"=-
"searchbee.net"=-
"www.searchbee.net"=-
"netsearchsoft.com"=-
"www.netsearchsoft.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-




Étape 3: OTMoveIt2 (de OldTimer)
Télécharger OTMoveIt2 via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... oveIt2.exe
Enregistrer le fichier sur le Bureau.

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
C:\Documents and Settings\All Users\Application Data\4 Curb Loud Idol
C:\Documents and Settings\Chris\Application Data\meta grid two
C:\Documents and Settings\LocalService\Application Data\meta grid two
C:\Program Files\Circle Developement
C:\Program Files\meta grid two
C:\WINDOWS\Prefetch\LITEBINDTRUST.EXE-29637CD1.pf
C:\WINDOWS\Prefetch\LITEBINDTRUST.EXE-314058F9.pf
C:\WINDOWS\Prefetch\PLAN SEEK SITE.EXE-0FA4562D.pf
C:\Documents and Settings\Chris\Local Settings\Temp\bisF.exe


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: OTMoveIt2 (de OldTimer)
Faire un double clic sur OTMoveIt2.exe pour lancer l'outil.
Ouvrir le fichier OTfichiers.txt dans le Bloc-notes.
En sélectionner toutes les lignes puis appuyer simultanément sur les touches Ctrl et C

Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la fenêtre située sur la gauche nommée "Paste List Of Files/Folders to Move" Image et choisir Coller.

Cliquer sur le bouton MoveIt! Image
Attendre la fin du travail de l'outil puis fermer OTMoveIt2.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 5: Utilisation du fichier remlopjob.bat
Faire un double clic sur remlopjob.bat (une petite fenêtre à fond noir va apparaître puis disparaître très rapidement).


Étape 6: Utilisation du fichier tuer-lop.reg
Faire un clic droit sur tuer-lop.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 7: Résultats
Envoyer en réponse:
*- un nouveau log HijackThis.

Dans ta réponse, n'oublie pas de donner le plus d'informations possible sur l'état du PC: amélioration / disparition / aggravation des symptômes d'infection.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Christob » 06 Juin 2008, 09:23

Bonjour nickW,

Au sujet des adresses de serveurs DNS en Inde, je suis connecté actuellement avec AIRTEL .
Je ne maitrise en rien leur protocole. :cry:

J'ai effectué toutes les manips que tu as décrites.
Voici mon rapport Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:43, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROTECTION\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\PROTECTION\SpoofStick\SPOOFSTICK\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\PROTECTION\SpoofStick\SPOOFSTICK\SpoofStick.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://fr8l.hpwis.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{B90A07B9-8381-4498-BC52-C865C10ED7EC}: NameServer = 125.22.47.125,202.56.250.5,202.56.230.5
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7489 bytes



Au niveau de l'état du PC:
- Je n'ai plus de son
- Il réagit beaucoup plus vite.

Je vais demander à ma fille de tester son portable, except MessengerPlus, pour rechercher les problèmes eventuels .

Dois je supprimer MessengerPlus!Live&Sponsor(CID) ?

A+
Christob
Christob
 
Messages: 91
Inscription: 29 Nov 2005, 19:48
Localisation: INDE

Messagede nickW » 06 Juin 2008, 22:24

Bonsoir,

Oui, il faut désinstaller MessengerPlus!Live (et ses sponsors)!

S'il est indispensable à la survie de l'utilisatrice (:wink:), il est possible de le réinstaller sans les sponsors.


Les manips effectuées ne concernent aucunement le son.
Que dit le Gestionnaire de périphériques
Démarrer---->Paramètres---->Panneau de configuration---->Système---->Onglet Matériel--->Bouton Gestionnaire de périphériques
Vois-tu des icônes jaunes ou rouges?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Christob » 07 Juin 2008, 08:34

Bonjour nickW,

J'ai désinstallé MessengerPlus et ses sponsors.

Puis je supprimer ou désinstaller:
- Les fichiers remlopjob.bat ; tuer-lop.reg ; OTfichiers.txt
- OTMoveIt2.exe ( sur le bureau) & C\_OTMoveIt\movedFiles
- Lop S&D.exe et LopS&D( sur le bureau) ainsi que C\LopSD


En me renseignant auprès de ma fille, le problème du son existait auparavant. Il est capricieux et fonctionne de temps en temps.
Il lui arrive aussi lors d'une lecture d'un DVD, que le computer bug et qu'un écran bleu apparaisse.

Je n'ai rien remarqué de suspect dans le gestionnaire de périphériques;


A+
Christob
Christob
 
Messages: 91
Inscription: 29 Nov 2005, 19:48
Localisation: INDE

Messagede nickW » 07 Juin 2008, 19:03

Bonsoir,

Très important:
A la prochaine apparition de l'écran bleu, il faut noter exactement la totalité du message affiché, puis l'envoyer sur le forum.

A vérifier:
Ouvrir le dossier C:\Windows\Minidump
S'il contient un (des) fichier(s) nommé(s) Mini******-**.dmp, il faudrait déposer les deux plus récents sur un serveur externe afin que je puisse les récupérer pour les analyser:
Méthode:
*- Aller sur: http://www.yousendit.com/
(Javascript doit être activé)
*- Dans les zones To et From, saisir n'importe quoi avec un @ dedans (Exemples: abc@def.com et abcdef@def.com) et décocher la case située devant "Remember my email"
*- Sous Select a file, cliquer sur le bouton "Parcourir..." et aller jusqu'au fichier Mini******-**.dmp le plus récent (dans le dossier C:\Windows\Minidump)
*- Cliquer sur le bouton vert "Send It"
*- Il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "Here is the link for the file you uploaded:")
Envoyer ce lien en réponse.



Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:


ImageUn conseil important:
Si elle est active sur ce portable .....
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Installer la nouvelle version de Java de Sun.

Version actuelle: Java Runtime Environment (JRE) 6 Update 6
*- http://java.sun.com/javase/downloads/index.jsp (prendre le fichier jre-6u6-windows-i586-p.exe, 15,21 MB)

Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants" (Voir dans Ajout/Suppression de programmes).
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html


ImageUn conseil:
Il est préférable de supprimer Lop S&D via Démarrer---->Programmes---->Lop S&D---->Désinstaller Lop S&D
Il est préférable de supprimer remlopjob (fichier créé remlopjob.bat).
Il est préférable de supprimer tuer-lop (fichier créé tuer-lop.reg).
Il est préférable de supprimer OTMoveIt2 (fichier téléchargé OTMoveIt2.exe situé sur le Bureau, fichier de travail OTfichiers.txt et dossier des résultats SystemDrive\_OTMoveIt).

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Christob » 08 Juin 2008, 10:51

Bonjour nickW,

Le dossier C:\Windows\Minidump est vide.
Quand l'écran bleu apparait; il est si rapide qu'il est impossible de noter l'erreur.


J'ai effectués tous tes conseils: Restauration ; Java; Suppression des fichiers et executables chargés de la décontamination de Lop.com


Une question hors sujet:
Dans Ajouter ou supprimer des programmes, Microsoft .net framework comme SunJava contient lui aussi de vieilles versions.
Puis je les supprimer comme je l'ai fait avec Java ?

A+
Christob
Christob
 
Messages: 91
Inscription: 29 Nov 2005, 19:48
Localisation: INDE

Messagede nickW » 08 Juin 2008, 18:46

Bonjour,

Officiellement, Microsoft .net framework 3.5 contient toutes les spécifications des versions antérieures.

Mais, mais, MAIS, certains logiciels ne fonctionneront que s'ils trouvent Microsoft .net framework 1.1 (ou 2.0) installé!

Il faut donc garder les anciennes versions.

Note:
Si la version 1.1 est désinstallée, mais qu'elle s'avère indispensable, il faudra désinstaller toutes les versions postérieures avant de pouvoir la réinstaller.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 45 invités