Infecté par dial messenger

stanbob le 24 mai 2007 à 21h32

J'ai accepté d'installer dial messenger sur mon ordinateur et maintenant apres l'avoir desinstallé j'ai des fenetres de dialogue qui s'affiche régulierement.
qu'est ce que je peux faire pour me débarasser de ce truc ??? Merci

répondre

chercheur_ le 24 mai 2007 à 21h39

Bonjour

Télécharge HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse ici.

répondre

stanbob le 24 mai 2007 à 21h54

Salut voila le log :

Logfile of HijackThis v1.99.1
Scan saved at 21:52:54, on 24/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Dial-Messenger\Dial-Messenger.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: SpyBHO Class - {84695FD5-A8A8-11D8-978E-005022E14DE2} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://fr.midas.games.yahoo.net/midasa.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken(...)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/06a55ac2f4c95da0b422/netzip/RdxIE601_fr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://paris.tourismeville.wanadoo.fr/AMC.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98534235-D876-4492-8100-AED1D5D6D61D}: NameServer = 217.27.32.5,213.228.0.168
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

répondre

chercheur_ le 24 mai 2007 à 23h20

Re

Pas grand chose dans ce rapport.
Relance un scan HijackThis et coche les lignes ci-dessous :

O2 - BHO: SpyBHO Class - {84695FD5-A8A8-11D8-978E-005022E14DE2} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken(...)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/06a55ac2f4c95da0b422/netzip/RdxIE601_fr.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

Fais aussi ceci.

$$ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique fsbl.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

$$ Télécharge LopxpMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.

répondre

stanbob le 24 mai 2007 à 23h58

Merci pour la reponse, j'ai coché et fixé les cases que tu m'as indiqué.
J'ai aussi fais les deux scans dont tu m'as parlé :

Pour Blackligth :

05/24/07 23:50:08 [Info]: BlackLight Engine 1.0.61 initialized
05/24/07 23:50:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/24/07 23:50:09 [Note]: 7019 4
05/24/07 23:50:09 [Note]: 7005 0
05/24/07 23:50:11 [Note]: 7006 0
05/24/07 23:50:11 [Note]: 7011 640
05/24/07 23:50:11 [Note]: 7026 0
05/24/07 23:50:11 [Note]: 7026 0
05/24/07 23:50:13 [Note]: FSRAW library version 1.7.1021
05/24/07 23:50:54 [Note]: 7007 0

Pour Lopxp :

Rapport lopxpMH2 version 2.0 fait à 23:51:38.54 le 24/05/2007
C:\Documents and Settings\Maillet\Bureau

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Administrateur\Application Data

06/12/2006 17:24 <REP> .
06/12/2006 17:24 <REP> ..
06/12/2006 17:24 <REP> Adobe
06/12/2006 17:24 <REP> Identities
06/12/2006 17:24 <REP> InterTrust
06/12/2006 17:24 <REP> Microsoft
06/12/2006 17:25 <REP> TuneUp Software
06/12/2006 17:24 62 desktop.ini
1 fichier(s) 62 octets
7 Rép(s) 3 567 681 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

06/12/2006 17:24 <REP> .
06/12/2006 17:24 <REP> ..
06/12/2006 17:24 <REP> Microsoft
06/12/2006 17:24 2 689 092 IconCache.db
1 fichier(s) 2 689 092 octets
3 Rép(s) 3 567 681 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\All Users\Application Data

10/09/2002 12:43 <REP> .
10/09/2002 12:43 <REP> ..
31/10/2006 17:37 <REP> BitDefender
19/06/2005 17:16 <REP> BOONTY
24/05/2007 16:48 <REP> Ciel
05/03/2003 12:33 <REP> CyberLink
12/04/2005 23:04 <REP> IntraLongMailBike
11/04/2004 14:20 <REP> Macrovision
03/11/2003 14:44 <REP> McNeel
29/03/2005 22:44 <REP> Messenger Plus!
10/09/2002 12:43 <REP> Microsoft
02/08/2003 15:27 <REP> MSN6
14/03/2003 18:01 <REP> QuickTime
10/09/2002 13:11 <REP> SBSI
01/03/2005 21:13 <REP> Spybot - Search & Destroy
14/03/2003 18:24 <REP> Symantec
25/11/2006 15:46 <REP> TuneUp Software
27/07/2006 14:00 <REP> Windows Genuine Advantage
24/11/2006 15:14 <REP> Yahoo! Companion
26/03/2005 16:17 <REP> Zylom
10/09/2002 12:43 62 desktop.ini
09/02/2005 18:03 774 hpzinstall.log
2 fichier(s) 836 octets
20 Rép(s) 3 567 681 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Default User\Application Data

10/09/2002 12:43 <REP> .
10/09/2002 12:43 <REP> ..
14/03/2003 15:09 <REP> Adobe
14/03/2003 15:09 <REP> Identities
14/03/2003 15:09 <REP> InterTrust
10/09/2002 12:43 <REP> Microsoft
10/09/2002 12:43 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 3 567 681 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

10/09/2002 12:43 <REP> .
10/09/2002 12:43 <REP> ..
14/03/2003 15:09 <REP> Microsoft
14/03/2003 15:09 2 689 092 IconCache.db
1 fichier(s) 2 689 092 octets
3 Rép(s) 3 567 681 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\LocalService\Application Data

10/09/2002 12:59 <REP> .
10/09/2002 12:59 <REP> ..
10/09/2002 12:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 3 567 681 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

10/09/2002 12:59 <REP> .
10/09/2002 12:59 <REP> ..
10/09/2002 12:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 3 567 677 440 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Maillet\Application Data

14/03/2003 15:11 <REP> .
14/03/2003 15:11 <REP> ..
14/03/2003 15:11 <REP> Adobe
03/08/2004 13:35 <REP> Ahead
10/04/2003 18:03 <REP> Aim
28/02/2006 16:38 <REP> Arcsoft
31/10/2006 18:01 <REP> Bitdefender
05/09/2004 19:18 <REP> Design Science
01/03/2004 18:48 <REP> FotoWire
08/12/2005 08:55 <REP> Free Download Manager
09/08/2005 17:33 <REP> Google
08/12/2006 19:28 <REP> Graphe Easy
18/03/2003 22:04 <REP> Help
14/03/2003 15:11 <REP> Identities
14/03/2003 15:11 <REP> InterTrust
19/11/2005 19:52 <REP> iShell
20/02/2005 18:39 <REP> Kazaa Lite
02/11/2003 02:20 <REP> Kontiki
26/03/2004 01:09 <REP> Macromedia
09/08/2004 20:07 <REP> Media Player Classic
14/03/2003 15:11 <REP> Microsoft
02/08/2003 15:27 <REP> MSN6
14/08/2005 13:06 <REP> NASA
07/06/2003 01:07 <REP> Real
12/04/2005 23:04 <REP> Store scr roam
24/05/2007 16:07 <REP> Sun
14/03/2003 18:24 <REP> Symantec
25/11/2006 15:48 <REP> TuneUp Software
07/05/2003 18:38 <REP> VERITAS
12/05/2006 23:25 <REP> vlc
25/10/2003 19:13 <REP> Yahoo! Messenger
10/04/2004 21:03 44 com.freego
14/03/2003 15:11 62 desktop.ini
24/03/2003 22:56 107 616 GDIPFONTCACHEV1.DAT
3 fichier(s) 107 722 octets
31 Rép(s) 3 567 677 440 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Maillet\Local Settings\Application Data

14/03/2003 15:11 <REP> .
14/03/2003 15:11 <REP> ..
29/08/2004 11:51 <REP> Ahead
15/02/2005 21:27 <REP> ApplicationHistory
18/03/2003 22:04 <REP> Help
15/02/2005 21:27 <REP> HP
14/04/2003 18:18 <REP> Identities
13/07/2005 18:20 <REP> IsolatedStorage
14/03/2003 15:11 <REP> Microsoft
17/03/2003 22:29 230 400 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
15/02/2005 21:27 130 fusioncache.dat
25/10/2004 23:04 107 616 GDIPFONTCACHEV1.DAT
12/05/2007 14:17 145 499 SVGViewSource001.html
4 fichier(s) 483 645 octets
9 Rép(s) 3 567 677 440 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\NetworkService\Application Data

10/09/2002 12:59 <REP> .
10/09/2002 12:59 <REP> ..
10/09/2002 12:59 <REP> Microsoft
08/02/2005 22:37 <REP> Symantec
0 fichier(s) 0 octets
4 Rép(s) 3 567 677 440 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

10/09/2002 12:59 <REP> .
10/09/2002 12:59 <REP> ..
10/09/2002 12:59 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 3 567 677 440 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Propriétaire\Application Data

10/09/2002 13:00 <REP> .
10/09/2002 13:00 <REP> ..
05/03/2003 12:21 <REP> Adobe
10/09/2002 13:00 <REP> Identities
05/03/2003 12:21 <REP> InterTrust
10/09/2002 13:00 <REP> Microsoft
10/09/2002 13:00 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 3 567 673 344 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Documents and Settings\Propriétaire\Local Settings\Application Data

10/09/2002 13:00 <REP> .
10/09/2002 13:00 <REP> ..
10/09/2002 13:00 <REP> Microsoft
10/09/2002 13:24 2 689 092 IconCache.db
1 fichier(s) 2 689 092 octets
3 Rép(s) 3 567 673 344 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

10/09/2002 12:58 <REP> .
10/09/2002 12:58 <REP> ..
14/03/2003 15:09 <REP> Adobe
14/03/2003 15:09 <REP> Identities
14/03/2003 15:09 <REP> InterTrust
10/09/2002 12:58 <REP> Microsoft
10/09/2002 12:58 62 desktop.ini
1 fichier(s) 62 octets
6 Rép(s) 3 567 673 344 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

10/09/2002 12:58 <REP> .
10/09/2002 12:58 <REP> ..
14/03/2003 15:09 <REP> Microsoft
14/03/2003 15:09 2 689 092 IconCache.db
1 fichier(s) 2 689 092 octets
3 Rép(s) 3 567 673 344 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\A7E2C88F92B57AD7.job
s "ˆ!Õ
> c : \ d o c u m e ~ 1 \ m a i l l e t \ a p p l i c ~ 1 \ s t o r e s ~ 1 \ I n t e r n e t B u i l d J u n k . e x e M a i l l e t € 0 Í <

C:\WINDOWS\Tasks\Maintenance
Maintenance inexploitable

C:\WINDOWS\Tasks\Rappel
Rappel inexploitable

C:\WINDOWS\Tasks\Vérifier
Vérifier inexploitable

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 2883-8206

Répertoire de C:\Program Files

24/05/2007 22:56 <REP> .
24/05/2007 22:56 <REP> ..
25/05/2004 20:50 <REP> ABC Amber PDF Converter
09/08/2004 20:01 <REP> ACE Mega CoDecS Pack
11/03/2005 21:15 <REP> Adware
01/03/2005 21:54 <REP> Ahead
22/08/2004 23:19 <REP> Alcohol Soft
18/02/2005 22:09 <REP> Alliance MCA
22/04/2006 15:46 <REP> Alwil Software
28/02/2006 16:10 <REP> ArcSoft
19/06/2005 21:47 <REP> Axis Communications
19/06/2005 21:47 <REP> BoontyGames
06/09/2004 19:14 <REP> Cabri II Plus
29/05/2003 20:30 <REP> CDex
24/05/2007 16:48 <REP> Ciel
17/11/2005 22:43 294 CVT_Radio.asx
25/11/2006 17:16 <REP> DesignPro 2000
25/11/2006 16:02 <REP> DivX
11/04/2004 14:48 <REP> EHMINSTALL
23/05/2007 04:41 <REP> eMule
24/05/2007 16:06 <REP> Fichiers communs
11/04/2004 14:49 <REP> FileZilla
24/08/2006 13:51 <REP> FpTest
16/09/2003 17:40 <REP> Free.fr
01/08/2006 20:18 <REP> Free-Go
01/08/2006 21:01 <REP> Freeplayer
02/11/2003 15:01 <REP> Ghostgum
02/09/2005 17:54 <REP> Google
08/12/2006 19:24 <REP> Graphe Easy 2.23
13/08/2004 20:31 <REP> Grenouille.com
14/03/2003 23:07 <REP> GTInteractive
24/05/2007 23:48 <REP> Hijackthis Version Française
09/02/2005 19:19 <REP> HP
10/05/2007 17:39 <REP> Internet Explorer
24/05/2007 16:07 <REP> Java
14/03/2003 17:59 <REP> JavaSoft
06/12/2006 19:40 <REP> jv16 PowerTools 2006
02/11/2003 02:21 <REP> Kontiki
01/03/2004 18:49 <REP> Logitech
09/09/2006 12:51 <REP> MathType
09/08/2004 20:03 <REP> Matroska Pack
09/08/2004 20:07 <REP> Media Player Classic
16/02/2005 10:29 <REP> messenger
19/04/2006 18:42 <REP> MessengerPlus! 3
10/09/2002 12:55 <REP> microsoft frontpage
23/08/2004 12:09 <REP> Microsoft Games
05/03/2003 12:28 <REP> Microsoft Money
21/11/2005 17:36 <REP> Microsoft Office
05/03/2003 12:26 <REP> Microsoft Visual Studio
21/11/2005 22:34 <REP> Microsoft Works
05/03/2003 12:13 <REP> MouseWare
25/10/2004 22:47 <REP> Movie Maker
24/11/2006 20:58 <REP> MSN Apps
10/09/2002 12:49 <REP> MSN Gaming Zone
27/11/2005 00:00 <REP> MSN Messenger
16/11/2006 01:23 <REP> MSXML 4.0
13/11/2005 13:06 <REP> Musetools
25/10/2004 22:43 <REP> NetMeeting
22/04/2006 15:43 <REP> Norton AntiVirus
15/12/2006 01:35 <REP> Outlook Express
28/02/2006 16:19 <REP> Panasonic
08/02/2005 00:40 <REP> PowerShot
31/08/2004 16:14 <REP> QuickSFV
21/11/2005 22:33 <REP> QuickTime
05/03/2003 12:25 <REP> Real
03/09/2004 13:40 <REP> ReflexiveArcade
09/08/2004 20:14 <REP> Satsuki Decoder Pack
05/03/2003 12:22 <REP> SBApps
17/11/2003 22:15 <REP> Scilab-2.6
10/09/2002 12:49 <REP> Services en ligne
24/10/2006 20:59 <REP> Softwin
08/02/2005 00:43 <REP> Soulseek
24/05/2007 21:06 <REP> Spybot - Search & Destroy
22/04/2006 15:45 <REP> Symantec
25/11/2006 19:19 <REP> TuneUp Utilities 2006
25/08/2004 19:18 <REP> UBISOFT
05/03/2003 12:28 <REP> Virtual CD v4 SDK
29/09/2003 19:37 <REP> WinAce
20/02/2005 11:21 <REP> Winamp3
02/03/2004 17:32 <REP> WinASPI
24/11/2006 20:58 <REP> Windows Live Toolbar
01/03/2004 19:09 <REP> Windows Media Components
20/02/2006 04:02 <REP> Windows Media Player
25/10/2004 22:43 <REP> Windows NT
12/04/2004 18:10 <REP> WinLemm
25/11/2006 17:16 <REP> WinRAR
28/09/2003 21:54 <REP> WinZip
10/09/2002 12:55 <REP> xerox
24/11/2006 21:22 <REP> Yahoo!
1 fichier(s) 294 octets
88 Rép(s) 3 567 656 960 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
www.meetic.fr REG_BINARY
www.airfrance.fr REG_BINARY
*.sytadin.tm.fr REG_BINARY
www.borealie.org REG_BINARY
*.minefi.gouv.fr REG_BINARY
www.ouirock.com REG_BINARY
www.ratp.info REG_BINARY
www.fdjeux.com REG_BINARY
*.launch.yahoo.com REG_BINARY
lesforums.france2.fr REG_BINARY
www.routard.com REG_BINARY
mathildehot.free.fr REG_BINARY
www.rodrigue.fr REG_BINARY
www.econologie.com REG_BINARY
www.hertz.fr REG_BINARY
www.1001salles.com REG_BINARY
www.t7j.com REG_BINARY
*.impots.gouv.fr REG_BINARY
www.ca-sudmed.fr REG_BINARY
www.sudradio.fr REG_BINARY
www.3suisses.fr REG_BINARY
www34.ratp.info REG_BINARY
www6.ratp.info REG_BINARY
www.circulation-lacub.com REG_BINARY
www.voyages-sncf.com REG_BINARY
www8.ratp.info REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Encore merci du temps que tu consacres à mon problème.

répondre

chercheur_ le 25 mai 2007 à 00h19

Re

On fait un peu de ménage.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Puis Appliquer

4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\All Users\Application Data\IntraLongMailBike
C:\Documents and Settings\Maillet\Application Data\Store scr roam
C:\WINDOWS\Tasks\A7E2C88F92B57AD7.job

Recache les fichiers cachés afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés.

5 Lance le nettoyage avec CCleaner.

6 Lance AVG Anti-Spyware.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

7 Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Choisis l'option 2
Enregistre le rapport une fois le scan terminé

8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware et le rapport qui se trouve ici C:\rapport_clean.txt

répondre

stanbob le 28 mai 2007 à 00h27

Rebonjour,
J'ai enfin réussi à faire tout ce que tu m'avais dit, voila les rapports :

le dernier rapport de Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:17:45, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Apps\ActivBoard\nhksrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Apps\ActivBoard\MMKeybd.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Apps\ActivBoard\TrayMon.exe
C:\Apps\ActivBoard\OSD.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Apps\ActivBoard\MMKeybd.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://fr.midas.games.yahoo.net/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://paris.tourismeville.wanadoo.fr/AMC.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98534235-D876-4492-8100-AED1D5D6D61D}: NameServer = 217.27.32.5,213.228.0.168
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

celui d'AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 00:04:01 28/05/2007

+ Résultat de l'analyse:

HKU\S-1-5-21-502627533-2974146706-1453689397-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{84695FD5-A8A8-11D8-978E-005022E14DE2} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Free.fr\connect.exe -> Dialer.Freefr : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\HotTVPlayer.dll -> Not-A-Virus.PornDownloader.Win32.HotTV.a : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

et enfin de clean :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 28/05/2007 a 0:05:05.28

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\UnGins.exe
tentative de suppression de C:\WINDOWS\browserxtras\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\bdod.bin
tentative de suppression de C:\WINDOWS\system32\RadLightMPCUninstall.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Voila, je n'ai plus de fenetres intempestives tout à l'air de fonctionner, mille mercis à toi et au temps que tu as consacré à mon problème, c'est vraiment très sympa.
Tcho :hello:

répondre

chercheur_ le 28 mai 2007 à 19h48

Bonjour

Hijackthis est propre.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.

répondre

stanbob le 30 mai 2007 à 14h46

Salut, Voila le rapport Kaspersky, j'ai l'impression d'avoir encore pas mal de mauvais trucs sur mon ordi, merci encore pour ton aide :

Nom de l'objet infecté Nom du virus Dernière action
C:\!KillBox\( 5) Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\BackWeblite1.zip/backWeb-8876480.exe Suspect : Password-protected-EXE ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\BackWeblite1.zip ZIP: suspect - 1 ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Historique\History.IE5\MSHist012007053020070531\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Temp\~DFEC48.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Temp\~DFEC4D.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maillet\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\SmitFraudFix\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\SmitFraudFix\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\SmitFraudFix\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\SmitFraudFix\SmitfraudFix.exe RarSFX: infecté - 2 ignoré

C:\SmitFraudFix\SmitfraudFix.exe PE_Patch.UPX: infecté - 2 ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE Infecté : not-a-virus:NetTool.Win32.PsKill ignoré

C:\WINDOWS\RESTORE.INS ARJ: infecté - 1 ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system\RESTORE.INS/C:/OEMCUST/TOOLS/WIN32/PSKILL.EXE Infecté : not-a-virus:NetTool.Win32.PsKill ignoré

C:\WINDOWS\system\RESTORE.INS ARJ: infecté - 1 ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

répondre

chercheur_ le 30 mai 2007 à 18h51

Bonjour

Pas grand chose dans ce rapport.

Supprime

C:\rapport_clean.txt
Clean
C:\!KillBox
C:\SmitFraudFix

As tu encore des dysfonctionnements ?

répondre

dou001 le 26 septembre 2007 à 12h18

Bonjour j'ai le même problème avec Dial messenger que dois je faire car je ne comprends rien au scan et les rapports....
merci pour la collaboration

chercheur_ a écrit :

Re

On fait un peu de ménage.

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Puis Appliquer

4 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\All Users\Application Data\IntraLongMailBike
C:\Documents and Settings\Maillet\Application Data\Store scr roam
C:\WINDOWS\Tasks\A7E2C88F92B57AD7.job

Recache les fichiers cachés afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés.

5 Lance le nettoyage avec CCleaner.

6 Lance AVG Anti-Spyware.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

7 Ouvre le dossier Clean qui se trouve sur ton bureau, et double-clic sur clean.cmd.
Choisis l'option 2
Enregistre le rapport une fois le scan terminé

8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'AVG Anti-Spyware et le rapport qui se trouve ici C:\rapport_clean.txt

-------
Merci d'avance

répondre

Infecté par dial messenger

PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

LOISIRS

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

		Sorties de salles "Le Concert", "Saw 6" : réactions à chaud des spectateurs.