[OK] analyse de log pour ahnrpta.exe

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] analyse de log pour ahnrpta.exe

Messagede chipryot » 01 Fév 2009, 21:34

Bonjour, je suis sous XP familial SP2, avec comme antivirus avast et firewall zone alarm. Je suis infecté par un fichier nommé ahnrpta.exe dans C:\Windows. Pourriez vous m'aider à analyser ce log s'il vous plait.
Merci


Logfile of HijackThis v1.99.1
Scan saved at 21:29:26, on 01/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\AhnRpta.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/229?bb4a4926b77e4f15a9227990d0d159a3
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/230?bb4a4926b77e4f15a9227990d0d159a3
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
chipryot
 
Messages: 12
Inscription: 01 Fév 2009, 21:25

Messagede nickW » 02 Fév 2009, 00:20

Bonsoir,

Tu as utilisé une version obsolète de HijackThis.

Nous n'en aurons pas besoin, mais voici comment installer la dernière version:

HijackThis (de TrendMicro), installation
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... s/download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.
Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Fermer HijackThis.


Premiers nettoyages, création de deux rapports (logs) détaillés:


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.




Étape 1: OTListIt2 (de OldTimer), téléchargement
Télécharger OTListIt2.exe depuis http://oldtimer.geekstogo.com/OTListIt2.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: Malwarebytes' Anti-Malware, installation
Télécharger Malwarebytes' Anti-Malware depuis l'un des liens ci-dessous:
http://www.besttechie.net/tools/mbam-setup.exe
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Enregistrer ce fichier sur le Bureau.
Faire un double clic sur mbam-setup.exe pour lancer l'installation (Accepter le contrat de licence, puis valider les options par défaut).
Sur le dernier écran de la procédure d'installation, cocher la case située devant "Mettre à jour Malwarebytes' Anti-Malware", puis cliquer sur le bouton "Terminer".


Étape 3: OTMoveIt3 (de OldTimer)
Télécharger OTMoveIt3 via un clic droit sur le lien ci-dessous:
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Enregistrer le fichier sur le Bureau.

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

Code: Tout sélectionner
rien
:Processes
explorer.exe

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-

:Files
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\system32\olhrwef.exe

:Commands
[start explorer]
[emptytemp]



Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTMI-1.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: chipryot.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"


Étape 5: Service
Arrêter, désactiver puis supprimer un service:

Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à Boonty Games
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK

Supprimer ce service:
Démarrer---->Exécuter
taper exactement
sc¤delete¤BOONTY
(le caractère ¤ représente un espace)
puis cliquer sur OK
Noter le message qui s'affiche (en cas d'échec).


Étape 6: OTMoveIt3 (de OldTimer)
Faire un double clic sur OTMoveIt3.exe pour lancer l'outil.
Ouvrir le fichier OTMI-1.txt dans le Bloc-notes.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la fenêtre située sur la gauche nommée "Paste Instructions for Items to be Moved" Image et choisir Coller.

Cliquer sur le bouton MoveIt!: Image
Attendre la fin du travail de l'outil puis fermer OTMoveIt3.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 7: Malwarebytes' Anti-Malware, recherche
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Cliquer sur le bouton "Enregistrer le rapport", valider la sauvegarde, puis cliquer sur le bouton "Quitter"


Étape 8: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 9: OTListIt2 (de OldTimer)
Fermer toutes les fenêtres de programme ouvertes.

Faire un double clic sur OTListIt2.exe pour lancer l'outil.

L'écran principal de OTListIt2 s'affiche:
Image

Si ce n'est déjà fait, dans le paragraphe Extra Registry, cocher le bouton-radio Use SafeList

Cocher (en haut) la case située devant Scan All Users: Image

Puis cliquer sur le bouton Run Scan: Image

Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTListIt2.


Étape 10: Résultats
Envoyer en réponse:
*- le rapport de OTMoveIt3 (contenu du fichier Lecteur\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
[Lecteur représente la partition depuis laquelle OTMoveIt3 a été lancé, généralement C:]
*- le log de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-*-**-**** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<tonprofil>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs / *-**-**** (**-**-**) représente la date [mois-jour-année] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les deux rapports de OTListIt2 (contenu des fichiers OTListIt.txt et Extras.txt situés sur le Bureau).
Les rapports envoyés sur le forum doivent se terminer par une ligne contenant <End>. Si ce n'est pas le cas, ils sont incomplets, et doivent alors être découpés en plusieurs messages.

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede chipryot » 02 Fév 2009, 20:06

Bonjour,
j'ai fait ce qui a été indiqué sauf le point 9. Lorsque je lance OTlistit2 (je met toutes les options comme indiquées) et quand je clique sur runscan j'ai deux messages d'erreur: "Error loading process libraries" puis "Classe non enregistrée".
Je met les 2 log que j'ai obtenu avec OTMoveIt3 et Malwarebytes' Anti-Malware :

Error: Unable to interpret <rien> in the current context!
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\cdoosoft deleted successfully.
========== FILES ==========
C:\WINDOWS\AhnRpta.exe moved successfully.
C:\WINDOWS\system32\olhrwef.exe moved successfully.
========== COMMANDS ==========
Explorer started successfully
File delete failed. C:\DOCUME~1\Sadoudi\LOCALS~1\Temp\etilqs_8bmpWWim7nysfQO5x35p scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_658.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT040b6.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT040ba.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02022009_183015

Files moved on Reboot...
File C:\DOCUME~1\Sadoudi\LOCALS~1\Temp\etilqs_8bmpWWim7nysfQO5x35p not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_658.dat scheduled to be moved on reboot.
C:\WINDOWS\temp\ZLT040b6.TMP moved successfully.
C:\WINDOWS\temp\ZLT040ba.TMP moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\XUL.mfl moved successfully.

<END>




Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1716
Windows 5.1.2600 Service Pack 2

02/02/2009 19:34:17
mbam-log-2009-02-02 (19-34-03).txt

Type de recherche: Examen rapide
Eléments examinés: 94459
Temps écoulé: 26 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 21

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10e42047-deb9-4535-a118-b3f6ec39b807} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{faa356e4-d317-42a6-ab41-a3021c6e7d52} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8f4e5661-f99e-4b3e-8d85-0ea71c0748e4} (Adware.NetOptimizer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntivirus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetgamebox (Adware.EGDAccess) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.3.70.0 (Adware.Zango) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\InternetGameBox (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\favoris (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\skins (Adware.EGDAccess) -> No action taken.
C:\Documents and Settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\aecyeia_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\aecyeia_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\aecyeia.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\aecyeia.exe (Adware.Navipromo.H) -> No action taken.
C:\Program Files\InternetGameBox\InternetGameBox.exe (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\language (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\uninst.exe (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\AttenteOff.html (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\AttenteOn.html (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\favoris\defaultv2.swf (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> No action taken.
C:\gfqgq.cmd (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
C:\Documents and Settings\yani\Application Data\tvmknwrd.dll (Trojan.Agent) -> No action taken.

<END>
chipryot
 
Messages: 12
Inscription: 01 Fév 2009, 21:25

Messagede nickW » 03 Fév 2009, 01:21

Bonsoir,

Création d'un autre rapport:

Note préliminaire importante
Navilog1 est détecté par certains antivirus comme étant un RiskTool (outil à risque).
Ceci est exact puisque certains de ses composants, s'ils étaient mis entre de mauvaises mains, pourraient effectuer des actions dangereuses.
Dans le cas de Navilog1, il faut les laisser s'exécuter, et, si nécessaire, désactiver temporairement les programmes de protection en temps réel (lors du téléchargement et de l'exécution de l'outil).



Étape 1: Navilog1 (de IL-MAFIOSO), Option 1
Télécharger Navilog1 par un clic droit sur le lien ci-dessous:
http://pagesperso-orange.fr/il.mafioso/ ... vilog1.exe
Enregistrer le fichier sur le Bureau.
Fermer toutes les applications actives (comme traitement de texte, navigateur).
Faire un double clic sur Navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, l'outil s'exécutera automatiquement.
(Si ce n'est pas le cas, faire un double clic sur le raccourci Navilog1 présent sur le Bureau).

Suivre les indications affichées.
Sur le menu principal, choisir l'option 1 et valider.
(ne pas choisir les options 2,3 ou 4 sans mon avis/accord)

Attendre jusqu'au message :
*** Analyse Termine le ..... ***
Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom navi1.txt
Copier l'intégralité du contenu de la fenêtre du Bloc-notes en réponse.
Fermer le Bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


Étape 2: Résultat
Envoyer en réponse:
*- le rapport de Navilog1, Option 1 (contenu du fichier navi1.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede chipryot » 04 Fév 2009, 22:03

Bonsoir,
voila ce que j'ai obtenu:

Search Navipromo version 3.7.1 commencé le 04/02/2009 à 21:36:33,32

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit
InternetGameBox

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***

...\InternetGameBox trouvé !

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Sadoudi\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\yani\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Yelly\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\yidir\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Sadoudi\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\yani\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Yelly\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\yidir\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Sadoudi\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\yani\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\Yelly\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\yidir\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Sadoudi\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\yani\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\Yelly\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\yidir\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Sadoudi\locals~1\applic~1" :

aecyeia.exe trouvé !
aecyeia.dat trouvé !
aecyeia_nav.dat trouvé !
aecyeia_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\yani\locals~1\applic~1" :


* Dans "C:\DOCUME~1\Yelly\locals~1\applic~1" :


* Dans "C:\DOCUME~1\yidir\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\Tasks\98911578940EA1BC.job trouvé ! Infection Lop possible non traitée par cet outil !


*** Analyse terminée le 04/02/2009 à 21:57:44,18 ***

<END>

Merci
chipryot
 
Messages: 12
Inscription: 01 Fév 2009, 21:25

Messagede nickW » 04 Fév 2009, 22:53

Bonsoir,


Le nettoyage s'impose:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"


Étape 2: Navilog1 (de IL-MAFIOSO), Option 2
Fermer toutes les applications actives (comme traitement de texte, navigateur).
Lancer l'outil par un double clic sur le raccourci Navilog1 présent sur le Bureau.
Suivre les indications, puis sur le Menu principal choisir l'option 2 et valider.
L'outil va annoncer qu'il va effectuer un redémarrage du PC: Enregistrer tous les documents personnels ouverts et fermer toutes les fenêtres affichées (mise à part celle de Navilog1).
Appuyer sur une touche comme demandé.
Si le PC ne redémarre pas automatiquement, lancer manuellement le redémarrage.
Lors du redémarrage, choisir la session habituelle.

Attendre jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom navi2.txt
Fermer le Bloc-notes, ce qui va permettre le réaffichage du Bureau.
Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.

Rechercher des certificats malveillants:
Démarrer---->Paramètres---->Panneau de configuration---->Options Internet
Onglet Contenu
Dans le paragraphe Certificats, cliquer sur le bouton Certificats...
Si dans les onglets "Personnel" et "Éditeurs approuvés" se trouvent
electronic-group ou egroup ou Montorgueil ou VIP ou Sunny Day Design Ltd ou OOO <<Favorit>>
il faut supprimer ces éléments.


Étape 3: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Si des éléments nuisibles ont été détectés, cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 4: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 5: Résultats
Envoyer en réponse:
*- le rapport de Navilog1, Option 2 (contenu du fichier navi2.txt)
*- le log de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-*-**-**** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<tonprofil>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs / *-**-**** (**-**-**) représente la date [mois-jour-année] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- un nouveau log HijackThis

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede chipryot » 07 Fév 2009, 23:17

Bonsoir,
j'ai fait le nettoyage et à la fin du dernier scan, juste après avoir redémarré, j'ai un message d'erreur que j'obtiens depuis que j'ai le problème:EXPLORER.EXE doit fermer....Ensuite, chose nouvelle, c'est drwtsn.exe qui doit fermer, et ensuite je suis obligé de le forcer à quitter dans l'onglet "processus" du gestionnaire de tache car sinon le bureau ne s'affiche pas, je n'ai que la barre "démarrer" sans pouvoir l'utiliser. Cependant, il y avait avant le nettoyage un processus ahnrpta.exe qui n'apparait plus désormais.

Voila les rapports:

Clean Navipromo version 3.7.1 commencé le 07/02/2009 à 21:48:47,62

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Sadoudi\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\yani\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\Yelly\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\yidir\locals~1\applic~1" *


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***

...\InternetGamebox ...suppression...
...\InternetGamebox supprimé !


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Sadoudi\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\yani\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Yelly\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\yidir\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Sadoudi\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\yani\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Yelly\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\yidir\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Sadoudi\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\yani\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Yelly\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\yidir\menudm~1\progra~1" ***



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Sadoudi\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Sadoudi\locals~1\applic~1" *


aecyeia.exe trouvé !
Copie aecyeia.exe réalisée avec succès !
aecyeia.exe supprimé !

aecyeia.dat trouvé !
Copie aecyeia.dat réalisée avec succès !
aecyeia.dat supprimé !

aecyeia_nav.dat trouvé !
Copie aecyeia_nav.dat réalisée avec succès !
aecyeia_nav.dat supprimé !

aecyeia_navps.dat trouvé !
Copie aecyeia_navps.dat réalisée avec succès !
aecyeia_navps.dat supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\yani\locals~1\applic~1" *


* Dans "C:\DOCUME~1\Yelly\locals~1\applic~1" *


* Dans "C:\DOCUME~1\yidir\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

C:\WINDOWS\Tasks\98911578940EA1BC.job trouvé ! Infection Lop possible non traitée par cet outil !


*** Nettoyage terminé le 07/02/2009 à 21:59:28,01 ***

<END>


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1736
Windows 5.1.2600 Service Pack 2

07/02/2009 22:49:23
mbam-log-2009-02-07 (22-49-22).txt

Type de recherche: Examen rapide
Eléments examinés: 101395
Temps écoulé: 39 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3fdd654-a057-4971-9844-4ed8e67dbbb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{10e42047-deb9-4535-a118-b3f6ec39b807} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{faa356e4-d317-42a6-ab41-a3021c6e7d52} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8f4e5661-f99e-4b3e-8d85-0ea71c0748e4} (Adware.NetOptimizer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.3.70.0 (Adware.Zango) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\m0vnonh.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kamsoft.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\olhrwef.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\gfqgq.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\yani\Application Data\tvmknwrd.dll (Trojan.Agent) -> Quarantined and deleted successfully.

<END>


et enfin le log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:07, on 07/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\imapi.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Update Win32a] winupdate32a.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows System32] winsystem32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [start uploading] smsss.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Sra] C:\WINDOWS\system32\config\systemprofile\Application Data\f???a.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [start uploading] smsss.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Update Win32a] winupdate32a.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [start uploading] smsss.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/229?bb4a4926b77e4f15a9227990d0d159a3
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/230?bb4a4926b77e4f15a9227990d0d159a3
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 12212 bytes

Merci
chipryot
 
Messages: 12
Inscription: 01 Fév 2009, 21:25

Messagede nickW » 08 Fév 2009, 00:45

Bonsoir,

Peux-tu me donner des précisions sur ce message d'erreur concernant Explorer.exe qui doit fermer:
*- existait-il avant le nettoyage?
*- est-il apparu une seule fois après le nettoyage précédent ou revient-il à chaque démarrage?
*- revient-il en cours de session?



Nouveau nettoyage et nouvelle recherche:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)

Étape 1: Lop S&D (de Angeldark et Eric71)
Télécharger Lop S&D via un clic droit sur le lien: http://eric.71.mespages.googlepages.com/LopSD.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: OTMoveIt3 (de OldTimer)
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

Code: Tout sélectionner
rien
:Processes
explorer.exe

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update Win32a"=-
"start uploading"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update Win32a"=-
"Windows System32"=-
"start uploading"=-
"Sra"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices]
"start uploading"=-

:Commands
[start explorer]
[emptytemp]



Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTMI-2.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: chipryot.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 3: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"


Étape 4: OTMoveIt3 (de OldTimer)
Faire un double clic sur OTMoveIt3.exe pour lancer l'outil.
Ouvrir le fichier OTMI-2.txt dans le Bloc-notes.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la fenêtre située sur la gauche nommée "Paste Instructions for Items to be Moved" Image et choisir Coller.

Cliquer sur le bouton MoveIt!: Image
Attendre la fin du travail de l'outil puis fermer OTMoveIt3.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 5: Lop S&D (de Angeldark et Eric71), Recherche
Faire un double clic sur LopSD.exe pour lancer l'exécution de l'outil.

Choisir la langue en tapant F puis en appuyant sur Entrée.
Lire l'avertissement, puis cliquer sur OK.

Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
Lorsque la recherche est terminée, une fenêtre du Bloc-notes s'ouvre et affiche le rapport (alias log).

Fermer le Bloc-notes, ce qui termine l'exécution de l'outil.

Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.


Étape 6: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 7: Résultats
Envoyer en réponse:
*- le rapport de Lop S&D (contenu du fichier SystemDrive\lopR.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- le rapport de OTMoveIt3 (contenu du fichier Lecteur\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
[Lecteur représente la partition depuis laquelle OTMoveIt3 a été lancé, généralement C:]
*- un nouveau log HijackThis

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede chipryot » 08 Fév 2009, 19:54

Bonsoir,
alors oui le problème avec explorer.exe existait avant le nettoyage et il s'affiche à chaque démarrage.A la place de l'écran de fond, il y a "récuperation active desktop" et en quittant le message d'erreur l'écran de fond revient à la normale.
J'ai fait les différentes manipulations et lors de l'utilisation de OTMoveIT3 j'ai eu ces messages d'erreurs à la suite:
-explorer.exe
-drwtsn.exe
-explorer.exe
Cela ne semble pas avoir géné l'éxécution du programme.
Voila les rapports:


--------------------\\ Lop S&D 4.2.5-0 XP/Vista


"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 08/02/2009|19:20 )

--------------------\\ Listing des dossiers dans APPLIC~1

[29/12/2004|14:31] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe
[29/12/2004|14:21] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\ADMINI~1\APPLIC~1\InterTrust
[12/07/2007|16:10] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[11/11/2008|00:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[16/07/2007|17:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[24/07/2007|22:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[14/04/2005|18:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avg7
[25/06/2008|16:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bluetooth
[18/06/2008|11:59] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY
[13/04/2006|21:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
[22/12/2006|17:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[23/04/2008|18:59] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
[31/07/2007|00:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
[04/02/2007|12:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak
[05/02/2009|19:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
[18/08/2008|17:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\LogMeIn
[24/08/2007|19:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
[13/07/2007|02:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
[02/02/2009|18:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[25/12/2005|20:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MGI
[18/02/2008|00:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[11/03/2005|11:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
[17/09/2008|00:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NOS
[01/10/2006|14:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\PC Suite
[04/01/2009|16:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pinnacle
[04/02/2005|01:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[29/12/2004|14:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SBSI
[25/11/2006|23:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ScanSoft
[13/02/2006|13:17] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SecTaskMan
[08/05/2008|21:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
[10/04/2006|21:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SolidDocuments
[22/04/2008|10:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[25/11/2006|23:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanAppDataDir
[25/11/2006|23:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanWizard
[09/07/2008|21:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com
[06/08/2007|18:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\U3
[20/11/2005|11:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[24/01/2007|18:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
[09/05/2008|20:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[28/04/2007|12:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo!
[28/04/2007|13:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
[12/02/2006|19:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom

[29/12/2004|14:31] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Adobe
[29/12/2004|14:21] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\DEFAUL~1\APPLIC~1\InterTrust
[02/12/2007|14:40] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[26/08/2006|11:47] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[02/12/2007|14:37] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[29/12/2004|14:31] C:\DOCUME~1\PROPRI~1\APPLIC~1\Adobe
[29/12/2004|14:21] C:\DOCUME~1\PROPRI~1\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\PROPRI~1\APPLIC~1\InterTrust
[26/08/2006|11:47] C:\DOCUME~1\PROPRI~1\APPLIC~1\Microsoft

[01/02/2007|16:57] C:\DOCUME~1\Sadoudi\APPLIC~1\AccurateRip
[11/11/2008|00:10] C:\DOCUME~1\Sadoudi\APPLIC~1\Adobe
[24/02/2005|23:53] C:\DOCUME~1\Sadoudi\APPLIC~1\Apple Computer
[25/11/2006|23:35] C:\DOCUME~1\Sadoudi\APPLIC~1\ArcSoft
[12/04/2008|11:22] C:\DOCUME~1\Sadoudi\APPLIC~1\Audacity
[31/07/2008|01:33] C:\DOCUME~1\Sadoudi\APPLIC~1\Azureus
[25/11/2006|23:20] C:\DOCUME~1\Sadoudi\APPLIC~1\Canon
[11/11/2008|00:14] C:\DOCUME~1\Sadoudi\APPLIC~1\com.fiat.convergence.385E4263E7379A5D22A7076E99B02868EFF10711.1
[26/12/2005|22:20] C:\DOCUME~1\Sadoudi\APPLIC~1\Dev-Cpp
[22/12/2008|00:21] C:\DOCUME~1\Sadoudi\APPLIC~1\DivX
[02/08/2007|21:31] C:\DOCUME~1\Sadoudi\APPLIC~1\dvdcss
[16/07/2007|00:38] C:\DOCUME~1\Sadoudi\APPLIC~1\Google
[27/05/2007|18:30] C:\DOCUME~1\Sadoudi\APPLIC~1\GrabIt
[02/05/2005|22:52] C:\DOCUME~1\Sadoudi\APPLIC~1\Graphe Easy
[31/07/2007|00:40] C:\DOCUME~1\Sadoudi\APPLIC~1\Grisoft
[29/05/2005|17:45] C:\DOCUME~1\Sadoudi\APPLIC~1\Help
[29/12/2004|14:21] C:\DOCUME~1\Sadoudi\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\Sadoudi\APPLIC~1\InterTrust
[09/03/2005|21:06] C:\DOCUME~1\Sadoudi\APPLIC~1\Lavasoft
[17/02/2006|13:45] C:\DOCUME~1\Sadoudi\APPLIC~1\Macromedia
[02/02/2009|18:17] C:\DOCUME~1\Sadoudi\APPLIC~1\Malwarebytes
[25/06/2008|16:30] C:\DOCUME~1\Sadoudi\APPLIC~1\Media Player Classic
[11/10/2008|16:32] C:\DOCUME~1\Sadoudi\APPLIC~1\Microsoft
[23/10/2005|18:59] C:\DOCUME~1\Sadoudi\APPLIC~1\MobileAction
[22/01/2008|14:49] C:\DOCUME~1\Sadoudi\APPLIC~1\Move Networks
[16/08/2008|00:41] C:\DOCUME~1\Sadoudi\APPLIC~1\Mozilla
[26/10/2006|19:28] C:\DOCUME~1\Sadoudi\APPLIC~1\Nokia Multimedia Player
[13/04/2006|21:21] C:\DOCUME~1\Sadoudi\APPLIC~1\OpenOffice.org2
[01/10/2006|15:04] C:\DOCUME~1\Sadoudi\APPLIC~1\PC Suite
[10/08/2008|21:15] C:\DOCUME~1\Sadoudi\APPLIC~1\Real
[25/12/2007|23:26] C:\DOCUME~1\Sadoudi\APPLIC~1\Samsung
[25/11/2006|23:08] C:\DOCUME~1\Sadoudi\APPLIC~1\ScanSoft
[14/05/2005|15:15] C:\DOCUME~1\Sadoudi\APPLIC~1\Share-to-Web Upload Folder
[16/01/2009|00:20] C:\DOCUME~1\Sadoudi\APPLIC~1\Skype
[26/01/2009|00:05] C:\DOCUME~1\Sadoudi\APPLIC~1\skypePM
[09/01/2009|22:29] C:\DOCUME~1\Sadoudi\APPLIC~1\SolidDocuments
[10/03/2005|02:36] C:\DOCUME~1\Sadoudi\APPLIC~1\Sun
[09/07/2008|21:19] C:\DOCUME~1\Sadoudi\APPLIC~1\SUPERAntiSpyware.com
[09/01/2005|04:35] C:\DOCUME~1\Sadoudi\APPLIC~1\Symantec
[29/06/2005|18:54] C:\DOCUME~1\Sadoudi\APPLIC~1\Talkback
[17/01/2008|21:31] C:\DOCUME~1\Sadoudi\APPLIC~1\U3
[23/08/2008|19:35] C:\DOCUME~1\Sadoudi\APPLIC~1\Uniblue
[28/01/2006|18:41] C:\DOCUME~1\Sadoudi\APPLIC~1\vlc
[11/05/2005|22:32] C:\DOCUME~1\Sadoudi\APPLIC~1\Wings3D
[09/07/2006|17:53] C:\DOCUME~1\Sadoudi\APPLIC~1\Yahoo!

[02/12/2006|18:09] C:\DOCUME~1\yani\APPLIC~1\Adobe
[03/02/2005|01:26] C:\DOCUME~1\yani\APPLIC~1\Apple Computer
[06/05/2005|10:10] C:\DOCUME~1\yani\APPLIC~1\Azureus
[30/06/2006|15:52] C:\DOCUME~1\yani\APPLIC~1\dvdcss
[22/12/2006|18:12] C:\DOCUME~1\yani\APPLIC~1\Google
[21/05/2005|18:28] C:\DOCUME~1\yani\APPLIC~1\Help
[29/12/2004|14:21] C:\DOCUME~1\yani\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\yani\APPLIC~1\InterTrust
[22/04/2008|10:34] C:\DOCUME~1\yani\APPLIC~1\Lavasoft
[13/04/2006|08:25] C:\DOCUME~1\yani\APPLIC~1\Macromedia
[11/08/2005|01:13] C:\DOCUME~1\yani\APPLIC~1\Media Player Classic
[26/01/2007|13:56] C:\DOCUME~1\yani\APPLIC~1\Microsoft
[01/07/2005|17:31] C:\DOCUME~1\yani\APPLIC~1\Mozilla
[11/03/2005|11:42] C:\DOCUME~1\yani\APPLIC~1\MSN6
[01/10/2006|12:33] C:\DOCUME~1\yani\APPLIC~1\Nokia
[29/10/2006|10:36] C:\DOCUME~1\yani\APPLIC~1\Nokia Multimedia Player
[01/10/2006|12:28] C:\DOCUME~1\yani\APPLIC~1\PC Suite
[12/02/2005|02:15] C:\DOCUME~1\yani\APPLIC~1\Real
[31/07/2007|10:23] C:\DOCUME~1\yani\APPLIC~1\Registry Cleaner
[20/02/2005|20:30] C:\DOCUME~1\yani\APPLIC~1\Share-to-Web Upload Folder
[12/03/2007|22:14] C:\DOCUME~1\yani\APPLIC~1\SolidDocuments
[07/03/2005|21:41] C:\DOCUME~1\yani\APPLIC~1\Sun
[03/04/2005|02:08] C:\DOCUME~1\yani\APPLIC~1\Symantec
[01/07/2005|17:31] C:\DOCUME~1\yani\APPLIC~1\Talkback
[21/05/2005|13:59] C:\DOCUME~1\yani\APPLIC~1\teamspeak2
[17/02/2007|16:42] C:\DOCUME~1\yani\APPLIC~1\U3
[30/06/2006|14:06] C:\DOCUME~1\yani\APPLIC~1\vlc
[11/02/2005|23:31] C:\DOCUME~1\yani\APPLIC~1\Yahoo!
[13/01/2005|22:03] C:\DOCUME~1\yani\APPLIC~1\Yahoo! Messenger

[29/12/2004|14:31] C:\DOCUME~1\Yelly\APPLIC~1\Adobe
[08/06/2005|13:28] C:\DOCUME~1\Yelly\APPLIC~1\Apple Computer
[05/05/2005|10:03] C:\DOCUME~1\Yelly\APPLIC~1\Azureus
[12/02/2006|13:20] C:\DOCUME~1\Yelly\APPLIC~1\Dev-Cpp
[31/08/2005|19:47] C:\DOCUME~1\Yelly\APPLIC~1\Help
[29/12/2004|14:21] C:\DOCUME~1\Yelly\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\Yelly\APPLIC~1\InterTrust
[08/06/2005|11:22] C:\DOCUME~1\Yelly\APPLIC~1\Macromedia
[26/08/2006|11:47] C:\DOCUME~1\Yelly\APPLIC~1\Microsoft
[28/02/2006|20:24] C:\DOCUME~1\Yelly\APPLIC~1\Mozilla
[06/02/2006|12:59] C:\DOCUME~1\Yelly\APPLIC~1\Real
[03/05/2005|19:39] C:\DOCUME~1\Yelly\APPLIC~1\Share-to-Web Upload Folder
[08/06/2005|13:17] C:\DOCUME~1\Yelly\APPLIC~1\Sun
[28/02/2006|20:24] C:\DOCUME~1\Yelly\APPLIC~1\Talkback
[04/03/2006|13:15] C:\DOCUME~1\Yelly\APPLIC~1\vlc
[10/02/2006|18:16] C:\DOCUME~1\Yelly\APPLIC~1\Yahoo!

[29/12/2004|14:31] C:\DOCUME~1\yidir\APPLIC~1\Adobe
[05/02/2005|18:51] C:\DOCUME~1\yidir\APPLIC~1\Apple Computer
[23/11/2008|16:01] C:\DOCUME~1\yidir\APPLIC~1\Google
[29/12/2004|14:21] C:\DOCUME~1\yidir\APPLIC~1\Identities
[29/12/2004|14:31] C:\DOCUME~1\yidir\APPLIC~1\InterTrust
[19/02/2005|00:42] C:\DOCUME~1\yidir\APPLIC~1\Lavasoft
[13/01/2005|07:47] C:\DOCUME~1\yidir\APPLIC~1\Macromedia
[23/11/2008|16:02] C:\DOCUME~1\yidir\APPLIC~1\Microsoft
[23/11/2008|16:03] C:\DOCUME~1\yidir\APPLIC~1\Mozilla
[16/02/2005|23:23] C:\DOCUME~1\yidir\APPLIC~1\Real
[14/04/2005|18:05] C:\DOCUME~1\yidir\APPLIC~1\Share-to-Web Upload Folder
[13/01/2005|07:46] C:\DOCUME~1\yidir\APPLIC~1\Symantec
[01/02/2005|00:51] C:\DOCUME~1\yidir\APPLIC~1\Yahoo!

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[10/01/2009 14:59][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[08/02/2009 18:43][--a------] C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job
[02/02/2009 01:54][--ah-----] C:\WINDOWS\tasks\MP Scheduled Scan.job
[08/02/2009 19:00][--ah-----] C:\WINDOWS\tasks\98911578940EA1BC.job
[29/12/2004 14:58][--a------] C:\WINDOWS\tasks\Rappel d'enregistrement 2.job
[08/02/2009 19:10][--ah-----] C:\WINDOWS\tasks\SA.DAT
[28/08/2001 12:00][-r-h-c---] C:\WINDOWS\tasks\desktop.ini

( 98911578940EA1BC.job )=( c:\docume~1\souad\applic~1\knobsize\FORDBODYMORE.exe )

--------------------\\ Listing des dossiers dans C:\Program Files

[13/04/2006|20:58] C:\Program Files\AbiSuite2
[16/09/2008|23:13] C:\Program Files\Adobe
[02/11/2008|19:00] C:\Program Files\alaplaya
[09/01/2005|17:39] C:\Program Files\Alcatel
[13/04/2006|20:31] C:\Program Files\Alcoda
[29/06/2006|16:37] C:\Program Files\Alcohol Soft
[15/08/2007|13:07] C:\Program Files\Alwil Software
[12/05/2005|23:00] C:\Program Files\AnmSMP
[16/08/2008|11:55] C:\Program Files\Apple Software Update
[25/11/2006|23:05] C:\Program Files\ArcSoft
[26/10/2008|03:35] C:\Program Files\a-squared Free
[10/06/2007|15:13] C:\Program Files\Audacity
[05/08/2006|15:36] C:\Program Files\Avanquest update
[26/10/2006|19:48] C:\Program Files\AviSynth 2.5
[16/12/2006|20:04] C:\Program Files\Aztec Tower 0.2
[15/03/2008|19:20] C:\Program Files\Azureus
[29/12/2004|14:32] C:\Program Files\BackWeb
[30/04/2006|23:43] C:\Program Files\Badongo
[18/06/2008|11:58] C:\Program Files\Boonty
[18/06/2008|11:58] C:\Program Files\BoontyGames
[16/08/2008|14:41] C:\Program Files\browserrecord
[02/05/2005|22:44] C:\Program Files\Cabri II Plus
[02/11/2008|05:11] C:\Program Files\cache_db
[25/11/2006|23:11] C:\Program Files\Canon
[27/05/2006|14:22] C:\Program Files\CCleaner
[16/08/2008|14:41] C:\Program Files\CDBurning
[11/02/2007|12:58] C:\Program Files\CDex_150
[09/08/2008|13:49] C:\Program Files\Combined Community Codec Pack
[11/06/2006|00:55] C:\Program Files\common files
[16/08/2008|14:40] C:\Program Files\DataCache
[05/08/2006|15:36] C:\Program Files\DesignPro 2000
[16/08/2008|14:42] C:\Program Files\Devices
[04/08/2006|16:46] C:\Program Files\Diablo II
[15/12/2006|22:15] C:\Program Files\Dictionnaire
[19/08/2006|17:46] C:\Program Files\DIFX
[01/12/2008|00:08] C:\Program Files\DivX
[30/06/2006|12:49] C:\Program Files\DVD Decrypter
[08/01/2009|16:32] C:\Program Files\eMule
[23/04/2006|00:35] C:\Program Files\English
[06/02/2005|20:21] C:\Program Files\EPSON
[11/11/2008|00:12] C:\Program Files\Fiat
[11/11/2008|00:11] C:\Program Files\Fichiers communs
[21/10/2005|22:27] C:\Program Files\FileZilla
[17/06/2007|12:12] C:\Program Files\Flop
[13/10/2007|18:06] C:\Program Files\FLVPlayer
[07/08/2007|21:45] C:\Program Files\Free Audio Pack
[29/07/2007|15:54] C:\Program Files\Free RM to MP3 Converter
[03/09/2008|14:03] C:\Program Files\generation5
[10/05/2005|19:27] C:\Program Files\GIMP-2.0
[28/08/2007|18:58] C:\Program Files\Google
[31/07/2007|00:13] C:\Program Files\Grisoft
[09/02/2006|20:50] C:\Program Files\Guitar Pro 5
[23/10/2005|19:33] C:\Program Files\GX20 COM-Handset Manager
[29/12/2004|14:38] C:\Program Files\HandyBits
[04/10/2005|23:36] C:\Program Files\Happy Note
[23/04/2006|00:41] C:\Program Files\Hewlett-Packard
[28/06/2005|15:37] C:\Program Files\HHD Software
[01/02/2009|21:29] C:\Program Files\hijackthis
[23/04/2006|00:37] C:\Program Files\hppspro
[14/09/2005|19:46] C:\Program Files\Illustrate
[28/01/2006|08:11] C:\Program Files\IncrediMail
[02/11/2008|18:59] C:\Program Files\InstallShield Installation Information
[11/12/2008|15:20] C:\Program Files\Internet Explorer
[28/08/2007|22:39] C:\Program Files\iPod
[25/01/2006|14:34] C:\Program Files\iriver
[28/08/2007|22:40] C:\Program Files\iTunes
[21/10/2007|11:28] C:\Program Files\Java
[04/02/2007|13:01] C:\Program Files\Kodak
[16/08/2008|14:42] C:\Program Files\lang
[05/02/2009|19:55] C:\Program Files\Lavasoft
[30/10/2008|11:37] C:\Program Files\library
[08/02/2009|00:49] C:\Program Files\LogMeIn
[31/05/2005|19:54] C:\Program Files\LucasArts(guerre des etoiles)
[31/10/2006|19:15] C:\Program Files\Magicbit
[02/02/2009|18:17] C:\Program Files\Malwarebytes' Anti-Malware
[24/11/2008|02:17] C:\Program Files\Messenger
[25/12/2005|20:50] C:\Program Files\MGI
[07/06/2006|20:53] C:\Program Files\Microsoft AntiSpyware
[10/05/2007|09:21] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[29/12/2004|14:18] C:\Program Files\microsoft frontpage
[07/08/2007|22:07] C:\Program Files\Microsoft Games
[29/12/2004|14:38] C:\Program Files\Microsoft Money
[09/01/2005|05:00] C:\Program Files\Microsoft Office
[10/06/2007|14:23] C:\Program Files\midi2wav
[12/08/2008|19:41] C:\Program Files\mIRC
[29/12/2004|14:22] C:\Program Files\MouseWare
[30/12/2005|16:24] C:\Program Files\Movie Maker
[08/02/2009|19:17] C:\Program Files\Mozilla Firefox
[25/12/2006|14:22] C:\Program Files\MP3 Player Utilities 3.57
[25/10/2008|16:27] C:\Program Files\mpegable
[29/12/2004|14:15] C:\Program Files\MSN
[29/12/2004|14:15] C:\Program Files\MSN Gaming Zone
[21/02/2007|20:07] C:\Program Files\MSN Messenger
[22/07/2007|12:52] C:\Program Files\MSXML 4.0
[29/11/2008|22:37] C:\Program Files\Multi_Media_France
[02/05/2005|22:53] C:\Program Files\multimaths
[07/02/2009|21:59] C:\Program Files\Navilog1
[13/01/2005|21:19] C:\Program Files\NetMeeting
[16/08/2008|14:41] C:\Program Files\Netscape6
[27/06/2008|18:09] C:\Program Files\Nokia
[25/12/2005|19:50] C:\Program Files\OfficeUpdate11
[17/04/2006|16:27] C:\Program Files\OpiStat
[13/06/2007|00:39] C:\Program Files\Outlook Express
[13/06/2005|12:52] C:\Program Files\PACIFIC
[18/07/2007|20:34] C:\Program Files\PC Wizard 2007
[10/05/2008|14:02] C:\Program Files\Plasma Pong
[16/08/2008|14:41] C:\Program Files\plugins
[07/08/2007|22:26] C:\Program Files\Power IE
[01/06/2008|14:45] C:\Program Files\Prassi PrimoDVD 2.0 (French)
[16/08/2008|14:41] C:\Program Files\producer
[24/07/2007|22:55] C:\Program Files\QuickTime
[12/02/2005|02:10] C:\Program Files\Real
[25/06/2008|16:29] C:\Program Files\Real Alternative
[02/05/2005|14:38] C:\Program Files\ReflexiveArcade
[24/08/2008|17:39] C:\Program Files\RIAM Video Enhancer
[24/08/2008|17:50] C:\Program Files\Ripp-it_AM
[29/07/2007|15:50] C:\Program Files\RM to MP3 Converter
[16/08/2008|14:42] C:\Program Files\rpplugins
[10/05/2008|16:01] C:\Program Files\Rumble Box
[25/12/2007|22:56] C:\Program Files\Samsung
[29/12/2004|14:32] C:\Program Files\SBApps
[25/11/2006|23:08] C:\Program Files\ScanSoft
[29/12/2004|14:16] C:\Program Files\Services en ligne
[16/08/2008|14:41] C:\Program Files\Setup
[26/01/2007|23:29] C:\Program Files\Share_Accelerator
[23/10/2005|19:42] C:\Program Files\SHARP GSM GPRS Wizard
[04/07/2007|18:49] C:\Program Files\Sierra On-Line
[17/01/2005|19:37] C:\Program Files\SigmaTel
[08/05/2008|21:33] C:\Program Files\Skype
[10/04/2006|21:19] C:\Program Files\SolidDocuments
[29/12/2004|14:39] C:\Program Files\Sonic Solutions
[22/02/2005|14:08] C:\Program Files\Sony
[22/04/2008|10:33] C:\Program Files\Spybot - Search & Destroy
[30/06/2007|17:02] C:\Program Files\Steam
[04/01/2009|16:15] C:\Program Files\Steinberg
[09/07/2008|21:19] C:\Program Files\SUPERAntiSpyware
[27/02/2006|21:02] C:\Program Files\SuperScan
[04/01/2009|16:20] C:\Program Files\Syncrosoft
[29/06/2007|19:53] C:\Program Files\TablEdit
[11/05/2005|22:10] C:\Program Files\Tacmi
[21/05/2005|13:58] C:\Program Files\Teamspeak2_RC2
[16/08/2008|14:42] C:\Program Files\templates
[12/07/2007|18:00] C:\Program Files\The All-Seeing Eye
[30/09/2006|20:03] C:\Program Files\TI Education
[18/08/2007|13:45] C:\Program Files\ToniArts
[07/02/2009|23:04] C:\Program Files\Trend Micro
[29/12/2004|14:21] C:\Program Files\Uninstall Information
[04/12/2007|00:49] C:\Program Files\Veoh Networks
[28/01/2006|18:26] C:\Program Files\VideoLAN
[15/07/2006|12:03] C:\Program Files\Vimicro
[26/11/2005|03:24] C:\Program Files\Visicom Media
[05/10/2005|13:46] C:\Program Files\W
[25/10/2008|16:09] C:\Program Files\WE Unlimited
[27/10/2006|21:35] C:\Program Files\WinAVI MP4 Converter
[07/06/2006|20:53] C:\Program Files\Windows Defender
[09/05/2008|20:50] C:\Program Files\Windows Live
[30/11/2007|12:39] C:\Program Files\Windows Live Favorites
[30/11/2007|12:40] C:\Program Files\Windows Live Toolbar
[11/09/2007|01:50] C:\Program Files\Windows Media Player
[13/01/2005|21:19] C:\Program Files\Windows NT
[23/08/2008|20:13] C:\Program Files\Windows Resource Kits
[10/01/2005|20:10] C:\Program Files\WindowsUpdate
[11/05/2005|22:28] C:\Program Files\wings3d_0.98.30
[21/05/2005|18:28] C:\Program Files\WinRAR
[29/12/2004|14:18] C:\Program Files\xerox
[26/10/2006|19:11] C:\Program Files\Xilisoft
[13/01/2005|07:45] C:\Program Files\Yahoo!
[27/01/2007|16:04] C:\Program Files\Zapu
[27/06/2008|18:06] C:\Program Files\Zero G Registry
[31/07/2008|11:50] C:\Program Files\Zone Labs

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[16/09/2008|23:15] C:\Program Files\Fichiers communs\Adobe
[11/11/2008|00:11] C:\Program Files\Fichiers communs\Adobe AIR
[24/03/2006|18:48] C:\Program Files\Fichiers communs\Agnitum Shared
[24/07/2007|21:51] C:\Program Files\Fichiers communs\Apple
[18/06/2008|11:59] C:\Program Files\Fichiers communs\BOONTY Shared
[09/01/2005|05:03] C:\Program Files\Fichiers communs\Designer
[10/05/2005|19:26] C:\Program Files\Fichiers communs\GTK
[20/02/2005|20:30] C:\Program Files\Fichiers communs\Hewlett-Packard
[11/05/2005|22:09] C:\Program Files\Fichiers communs\InstallShield
[07/03/2005|21:32] C:\Program Files\Fichiers communs\Java
[04/02/2007|12:58] C:\Program Files\Fichiers communs\Kodak
[29/12/2004|14:22] C:\Program Files\Fichiers communs\Logitech
[25/12/2005|20:50] C:\Program Files\Fichiers communs\MGI Shared
[18/02/2008|00:26] C:\Program Files\Fichiers communs\Microsoft Shared
[29/12/2004|14:16] C:\Program Files\Fichiers communs\MSSoap
[17/07/2005|21:20] C:\Program Files\Fichiers communs\NSV
[17/07/2005|21:20] C:\Program Files\Fichiers communs\Nullsoft
[29/12/2004|14:13] C:\Program Files\Fichiers communs\ODBC
[16/08/2008|14:41] C:\Program Files\Fichiers communs\Real
[07/10/2007|10:50] C:\Program Files\Fichiers communs\ScanSoft Shared
[29/12/2004|14:16] C:\Program Files\Fichiers communs\Services
[08/05/2008|21:32] C:\Program Files\Fichiers communs\Skype
[29/12/2004|14:13] C:\Program Files\Fichiers communs\SpeechEngines
[13/06/2007|00:39] C:\Program Files\Fichiers communs\System
[27/12/2007|19:55] C:\Program Files\Fichiers communs\Teknum Systems
[30/09/2006|20:02] C:\Program Files\Fichiers communs\TI Shared
[10/02/2005|23:35] C:\Program Files\Fichiers communs\trpljbjl
[09/05/2008|20:52] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[05/02/2009|19:52] C:\Program Files\Fichiers communs\Wise Installation Wizard
[16/08/2008|14:41] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 37 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\Program Files\Multi_Media_France
C:\Program Files\Multi_Media_France\INSTALL.LOG
C:\Program Files\Multi_Media_France
C:\Program Files\Multi_Media_France\INSTALL.LOG
C:\DOCUME~1\Sadoudi\Cookies\sadoudi@imagevenue.advertserve[2].txt
C:\DOCUME~1\Sadoudi\Cookies\sadoudi@partypoker[1].txt
C:\WINDOWS\Tasks\98911578940EA1BC.job

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-08 19:30:08
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\InternetGameBox
C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\InternetGameBox\Conditions g‚n‚rales.url
C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\InternetGameBox\Confidentialit‚.url
C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\InternetGameBox\D‚sinstaller.lnk
C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\InternetGameBox\InternetGameBox.lnk
C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\InternetGameBox\Website.url
[b]==> EGDACCESS </b> C:\DOCUME~1\Sadoudi\LOCALS~1\Temp
[F:521][D:0]-> C:\DOCUME~1\Sadoudi\Cookies
[F:1178][D:25]-> C:\DOCUME~1\Sadoudi\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 08/02/2009|19:35 - Option : [1]

--------------------\\ Fin du rapport a 19:35:30

<END>




Error: Unable to interpret <rien> in the current context!
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Update Win32a deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\start uploading deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Update Win32a not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Windows System32 deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\start uploading not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Sra deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices\\start uploading deleted successfully.
========== COMMANDS ==========
Explorer started successfully
File delete failed. C:\DOCUME~1\Sadoudi\LOCALS~1\Temp\etilqs_2Sbb7wLdrmFieIqlsJPr scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_720.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT07109.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT0711a.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02082009_185737

Files moved on Reboot...
File C:\DOCUME~1\Sadoudi\LOCALS~1\Temp\etilqs_2Sbb7wLdrmFieIqlsJPr not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_720.dat moved successfully.
C:\WINDOWS\temp\ZLT07109.TMP moved successfully.
File C:\WINDOWS\temp\ZLT0711a.TMP not found!
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Sadoudi\Local Settings\Application Data\Mozilla\Firefox\Profiles\zdfkqxee.default\XUL.mfl moved successfully.


<END>

et enfin le log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:54:02, on 08/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/229?bb4a4926b77e4f15a9227990d0d159a3
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-ww\msntabres.dll.mui/230?bb4a4926b77e4f15a9227990d0d159a3
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesfr.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11601 bytes


Merci
chipryot
 
Messages: 12
Inscription: 01 Fév 2009, 21:25

Messagede nickW » 09 Fév 2009, 01:37

Bonsoir,

Tentative de réparation du problème Active Desktop:

Démarrer--->Paramètres---->Panneau de configuration---->Affichage---->Onglet Bureau---->Bouton "Personnalisation du Bureau"---->Onglet Web
Dans la zone Pages Web, ne laisser que la ligne "Ma page d'accueil" en la décochant


Suite du nettoyage:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: OTViewIt (de OldTimer), téléchargement
Télécharger OTViewIt.exe depuis http://oldtimer.geekstogo.com/OTViewIt.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"


Étape 3: Lop S&D (de Angeldark et Eric71), Suppression
Faire un double clic sur LopSD.exe situé sur le Bureau pour lancer l'exécution de l'outil.
Choisir la langue en tapant F puis en appuyant sur Entrée.
Lire l'avertissement, puis cliquer sur OK.

Après l'affichage du menu, taper 3 puis faire Entrée pour supprimer les fichiers responsables de l'infection.

Ne pas fermer la fenêtre pendant la suppression des fichiers!

Lorsque la suppression est terminée, une fenêtre du Bloc-notes s'ouvre et affiche le rapport (alias log).

Fermer le Bloc-notes, ce qui termine l'exécution de l'outil.

Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.


Étape 4: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 5: OTViewIt (de OldTimer)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur OTViewIt.exe pour lancer l'outil.
S'il y a un "Avertissement de sécurité", cliquer sur "Exécuter".
Cocher (en haut) la case située devant Scan All Users.
Cliquer sur le bouton Run Scan et laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant l'un des deux rapports.
Fermer le Bloc-notes.
Le second rapport est visible dans la Barre des tâches. Le fermer également.
Fermer la fenêtre de OTViewIt.


Étape 6: Résultats
Envoyer en réponse:
*- le rapport de Lop S&D (contenu du fichier SystemDrive\lopR.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les deux rapports de OTViewIt (contenu des fichiers OTViewIt.txt et Extras.txt situés sur le Bureau).

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités